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Prefacio de Steve Wozniak 


AS aventuras de Kevin Mitnick como 
cibercriminoso e fugitivo de uma 
das cacadas mais exaustivas da 
historia do FBI deram origema 
dezenas de artigos, livros, filmes e 
documentarios. Desde que foi solto 
de uma prisao federal, Mitnick deu 
uma virada na sua vida e 
estabeleceu-se Como um dos 
especialistas em seguranca de 
computadores mais requisitados de 
todo o mundo. 


Neste livro, o nNacker mais famoso 
do mundo fornece orientacoes 
especificas para o desenvolvimento 
de protocolos, programas de 
treinamento e manuais para 
garantir que o investimento em 
seguranca tecnica sofisticada de 
uma empresa nao seja em vao. Ele 
da conselhos sobre como evitar 
vulnerabilidades de seguranca e 
espera que as pessoas estejam 
sempre preparadas para um 
ataque vindo do risco mais serio de 
todos — a natureza Numana. 
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Engenharia social 


engenharia social usa a influéncia e a persuasdo para enganar as pessoas e convencé-las de 

que o engenheiro social é alguém que na verdade ele nao e, ou pela manipulacgao. Como re- 

sultado, o engenheiro social pode aproveitar-se das pessoas para obter as informagdes com 
ou sem o uso da tecnologia. 
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entacao 


6s nascemos com um impulso interno de explorar a natureza daquilo que nos cerca. Como 

todos os jovens, Kevin Mitnick e eu éramos muito curiosos sobre 0 mundo e ansiosos para 

testar a nds mesmos. Quase sempre fomos recompensados pelas nossas tentativas de apren- 
der coisas novas, solucionar quebra-cabegas e ganhar jogos. Mas ao mesmo tempo, o mundo ao nosso 
redor nos ensinou regras de comportamento que restringiam nossa necessidade de explorac¢ao livre. 
Para os nossos ousados cientistas e empreendedores tecnolégicos, bem como para pessoas como 
Kevin Mitnick, seguir essa vontade traz as maiores emocoes e permite que realizemos coisas que os 
outros acreditam que nao podem ser feitas. 


Kevin Mitnick é uma das melhores pessoas que conhego. Pergunte e ele respondera de forma di- 
reta que aquilo que ele fazia — a engenharia social — era trapacear as pessoas. Mas Kevin nao é mais 
um engenheiro social. E mesmo quando o era, 0 seu motivo nunca foi enriquecer ou causar danos 
as outras pessoas. Isso nao quer dizer que nao existam criminosos perigosos e destrutivos que usam 
a engenharia social para causar danos reais. Na verdade, foi exatamente por esse motivo que Kevin 
escreveu este livro — para avisa-los sobre eles. 


Este livro mostra como somos vulnerdveis — 0 governo, as empresas e cada um de nds — as 
invasoes do engenheiro social. Nessa era de conscientizagao sobre a segurancga, gastamos somas 
imensas em tecnologia para proteger nossas redes de computadores e nossos dados. Este livro mostra 
como é facil enganar quem trabalha nessas areas e burlar toda essa protecao tecnoldgica. 


Trabalhando em empresas ou no governo, fornego aqui um mapa para ajuda-lo a entender como 
os engenheiros sociais trabalham e o que vocé pode fazer para frustra-los. Usando histérias ficticias 
que sao divertidas e elucidativas, Kevin e Bill Simon dao vida a técnicas do submundo da engenharia 
social. Apdés cada uma das hist6érias, ha orientagdes praticas que o ajudam a se proteger contra as 
invasOes e ameacas descritas. 


A segurang¢a tecnoldgica deixa grandes lacunas que pessoas como Kevin podem nos ajudar a 
fechar. Leia este livro e vocé finalmente percebera que todos nés precisamos recorrer aos Mitnicks 
que ha entre nos para obter orientacao. 


— Steve Wozniak 


Iguns hackers destroem os arquivos ou unidades de disco inteiras das pessoas. Eles sao cha- 

mados de Crackers ou vandalos. Alguns hackers novatos nao se preocupam em aprender a 

tecnologia; eles apenas querem baixar as ferramentas dos hackers para entrar nos sistemas 

e computadores, Esses sao chamados de script kiddies. Os hackers mais experientes, com habili- 

dades em programacao, desenvolvem programas para hackers e os postam na Web e nos sistemas 

de bulletin board. Em seguida, temos os individuos que nao tém nenhum interesse em tecnologia, 

mas que usam 0 computador apenas como uma ferramenta que os ajuda a roubar dinheiro, bens ou 
SerViCOS. 


Apesar do mito que a midia criou sobre Kevin Mitnick, nao sou um hacker malicioso. 


Mas estou me adiantando na historia. 


O INICIO 


O meu caminho provavelmente foi definido no inicio da minha vida. Eu era uma crianga bonita e 
feliz, mas chateada. Apds meu pai sair de casa quando eu tinha trés anos, a minha mae trabalhou 
como garconete para nos sustentar Naquela época — apenas uma crianga criada por uma mae que 
trabalhava muito, sem um hordario fixo — eu era um jovem que me cuidava por conta propria quase 
que de manha até a noite. Eu era a minha propria baba. 


Cresci em uma comunidade do Vale de Sao Fernando e tinha toda a Los Angeles para explorar; 
com doze anos ja havia descoberto um meio de viajar de graga em toda a area da Grande Los Angeles. 
Percebi certo dia que o bilhete de baldeagao de O6nibus que havia comprado baseava-se em um padrao 
incomum de furos em papel que os motoristas usavam para marcar o dia, a hora e o itinerario nos bi- 
Ihetes. Um motorista amigo, ao responder minhas perguntas cuidadosamente formuladas, contou-me 
onde eu poderia comprar aquele tipo especial de furador de papel. 


As baldeagées permitem que vocé troque de 6nibus e continue a viagem até o seu destino, mas eu 
havia descoberto como usa-las para viajar para qualquer lugar que quisesse de graca. A obten¢ao das 
passagens em branco foi como passear no parque: as lixeiras dos terminais de 6nibus estavam cheias 
de blocos de passagens parcialmente usados, os quais eram jogados pelos motoristas no final de seus 
turnos. Com um bloco de passagens em branco e o furador, podia marcar minhas proprias baldeacgdes 
e viajar para qualquer parte aonde fossem os 6nibus de Los Angeles. Em pouco tempo, ja tinha feito 
tudo, menos decorar os horarios dos Onibus de todo o sistema. Esse foi um exemplo precoce da minha 
surpreendente memoria para determinados tipos de informag6es; ainda hoje consigo decorar nimeros 
de telefone, senhas e outras coisas. 


Xii A Arte de Enganar 


Outro interesse pessoal que surgiu logo cedo foi o meu fascinio pela magica. Apos aprender 
como um truque novo funcionava, nao parava de praticar até domina-lo bem. De certa forma, foi pela 
magica que descobri como é bom enganar as pessoas. 


Do phreaking ao hacking 


O meu primeiro encontro com aquilo que aprenderia a chamar de engenharia social deu-se durante 
meus anos no ginasio, quando conheci outro aluno que foi pego com um hobby chamado phone 
pDhreaking. Esse € um tipo de hacking que permite que vocé vasculhe a rede telefOnica explorando os 
sistemas de telefone e os empregados da empresa de telefonia. Ele me mostrou os truques que podia 
fazer com um telefone, como conseguir todas as informag6es que a empresa de telefonia tinha sobre 
um cliente e como usar um numero de teste secreto para fazer ligac6es interurbanas de graca (na ver- 
dade elas eram de graca para nds — descobri bem mais tarde que aquele nao era um numero secreto 
de teste: as ligagdes eram cobradas de alguma conta MCI da pobre empresa). 


Essa foi a minha apresentacao a engenharia social — o meu jardim da infancia, por assim dizer. 
Ele garoto e outro phreaker que conheci pouco tempo depois me deixavam escutar as ligacgdes de 
pretexto para a empresa de telefonia. Eu ouvia as coisas que eles diziam para parecerem pessoas de cre- 
dibilidade, aprendi sobre os diferentes escrit6rios das empresas de telefonia, o linguajar e os procedi- 
mentos. Mas esse "treinamento" nao durou muito tempo; ele nao precisava ser longo. Em breve esta- 
va aprendendo por conta prépria e me saindo melhor ainda do que aqueles primeiros professores. 


O curso que a minha vida tomaria nos préximos 15 anos ja estava definido. 


Uma das minhas pegas preferidas era conseguir 0 acesso nao autorizado a uma central telef6- 
nica e mudar a classe de servicos de um colega phreaker. Quando tentava fazer uma liga¢ao de casa, 
ele ouvia uma mensagem pedindo para depositar vinte e cinco centavos, porque a central da empre- 
sa de telefonia havia recebido informagoes de que ele estava ligando de um telefone putblico. 


Fiquei interessado em tudo que dissesse respeito a telefones — nao apenas a eletrénica, as 
centrais e aos computadores, mas também a organizaca4o corporativa, aos procedimentos e a termi- 
nologia. Apos algum tempo, talvez j4 soubesse mais sobre o sistema de telefones do que qualquer 
empregado da empresa. E havia desenvolvido as minhas habilidades em engenharia social até 0 ponto 
de com 17 anos poder falar com a maioria dos empregados da empresa de telefonia sobre quase tudo, 
fosse pessoalmente ou por telefone. 


A minha carreira tao divulgada de hacker, na verdade, comecou quando eu estava no colégio. 
Embora nao possa descrever aqui os detalhes, basta dizer que um dos principais incentivos para as 
minhas primeiras acgoes foi ser aceito pelos caras do grupo de hackers. 


Naquela época usadvamos o termo hacker para descrever uma pessoa que passava grande parte do 
tempo mexendo com hardware e software, seja para o desenvolvimento de programas mais eficientes, 
seja para eliminar etapas desnecessarias e fazer um trabalho mais rapidamente. O termo agora se tor- 
nou pejorativo com o significado de "criminoso malicioso". Uso 0 termo como sempre 0 usei --- no 
seu sentido mais antigo e benigno. 


Terminado o colégio, fiz um curso sobre computadores no Computer Learning Center, em Los 
Angeles. Em alguns meses, 0 gerente de computadores da escola percebeu que eu havia descoberto 
uma vulnerabilidade no sistema operacional e havia ganhado privilégios administrativos totais sobre 
seu minicomputador IBM. Os melhores especialistas em computadores do seu corpo docente nao 
conseguiram descobrir como eu havia feito aquilo. Este deve ter sido um dos primeiros exemplos de 
"contrate o hacker", pois recebi uma oferta irrecusdvel: criar um projeto honors (dentro dos padrées e 
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normas) para melhorar a seguranca dos computadores da escola, ou enfrentar a suspensdao por ter inva- 
dido o sistema. E claro que preferi criar 0 projeto e acabei me formando Cum Laude with Honors, 


Tomando-me um engenheiro social 


Algumas pessoas acordam de manha temendo a sua rotina de trabalho nas proverbiais minas de sal. 
Tive sorte e gosto do meu trabalho. Vocé nao pode imaginar o desafio, a gratificagaéo e o prazer que 
sentia no periodo em que trabalhei como detetive particular. Eu estava aperfeigoando meus talentos 
na arte teatral chamada engenharia social — fazer com que as pessoas fagam coisas que normalmente 
nao fariam para um estranho — e sendo pago para fazer isso. 


Para mim nao foi dificil tornar-me proficiente em engenharia social. O lado paterno da minha 
familia trabalhava com vendas ha geragoes, de modo que a arte da influéncia e persuasao pode ter sido 
um traco que herdei. Quando vocé combina uma inclina¢ao para enganar as pessoas com os talentos 
da influéncia e persuasao, vocé chega ao perfil de um engenheiro social 


Pode-se dizer que ha duas especialidades dentro da classificagao do cargo de artista da trapag¢a. 
Alguém que faz falcatruas e engana as pessoas para tirar o seu dinheiro pertence a uma subespeciali- 
dade chamada grifter. Alguém que usa a fraude, a influéncia e a persuasao contra as empresas, em ge- 
ral visando suas informag6es, pertence a outra subespecialidade: 0 engenheiro social. Desde a época 
do meu truque com a baldeacao de 6nibus, quando era jovem demais para saber que era errado aquilo 
que estava fazendo, eu havia comec¢ado a reconhecer um talento para descobrir os segredos que eu 
nao deveria saber, Aproveitei aquele talento usando a fraude, conhecendo o jargao e desenvolvendo 
uma habilidade de manipula¢ao bem lapidada. 


Uma forma que descobri para desenvolver as habilidades da minha arte, se € que posso chama-la 
de arte, foi escolher algumas informacgdes com as quais nao me importava e ver se poderia conven- 
cer alguém do outro lado do telefone a me fornecé-las, s6 para melhorar as minhas habilidades. Da 
mesma forma que costumava praticar meus truques de magica, pratiquei a criacao de pretextos. Por 
meio de todos esses ensaios, logo descobri que poderia adquirir praticamente quaisquer informac6es 
que desejasse. 


Como descrevi em meu testemunho no Congresso perante os Senadores Lieberman e Thompson 
anos depois: 


Tive acesso nado autorizado aos sistemas de computadores de algumas das maiores cor- 
poracoes do planeta, e consegui entrar com sucesso em alguns dos sistemas de computadores 
mais protegidos que jaforam desenvolvidos. Usei meios técnicos e ndo técnicos para obter 
o cédigo-fonte de diversos sistemas operacionais e dispositivos de telecomunicacées para 
estudar suas vulnerabilidades e seu funcionamento interno. 


Toda essa atividade visava satisfazer minha propria curiosidade, ver 0 que eu poderia fazer e des- 
cobrir informag6es secretas sobre os sistemas operacionais, telefones celulares e tudo 0 que chamasse 
minha atenc¢aéo. 


ULTIMAS IDEIAS 


Reconheci desde a minha prisao que minhas agées eram ilegais e que cometi invasOes de privacidade. 


Meus crimes foram motivados pela curiosidade. Eu queria saber 0 maximo possivel sobre o 
modo como funcionavam as redes de telefonia e os pros e Contras da seguranga de computadores. 


xiv Arte de Enganar 


Passei de uma criancga que adorava fazer truques de magica para o hacker mais conhecido do mundo, 
temido pelas corporagdes e pelo governo. Ao pensar nesses Ultimos 30 anos, tenho de admitir que 
tomei algumas decisOes ruins, motivadas pela minha curiosidade, pelo desejo de aprender sobre a 
tecnologia e pela necessidade de um bom desafio intelectual. 


Hoje sou outra pessoa. Estou transformando meus talentos e 0 extenso conhecimento que reuni 
sobre a seguranca das informac¢oes e sobre as taticas da engenharia social para ajudar o governo, as 
empresas e os individuos a evitar, detectar e responder as ameagas da seguranga da informacao. 


Este livro € mais uma forma pela qual posso usar a minha experiéncia para ajudar os outros a 
evitarem os esforcos dos ladrdes mal-intencionados de informagées de todo o mundo. Creio que o 
leitor achara as hist6rias agradaveis, elucidativas e educativas. 


ste livro contém inimeras informagées sobre a seguran¢a das informag6es e a engenharia social. 
ara ajuda-lo a encontrar 0 seu caminho, apresento a sua organiza¢ao: 


Na Parte 1, reveloo elo mais fraco da seguran¢a e mostro 0 motivo pelo qual vocé e a sua empre- 
sa estao arriscados a sofrer ataques da engenharia social 


Na Parte 2, vocé vera como os engenheiros sociais brincam com a sua confian¢ga, com 0 seu 
desejo de ser util, com a sua simpatia e com a sua credulidade para obter aquilo que eles querem. As 
hist6rias ficticias de ataques tipicos demonstrarao que os engenheiros sociais podem assumir muitos 

Se acha que nunca encontrou um, provavelmente esta errado. Vocé reconheceria um cenario 
no qual ja esteve nessas hist6rias e se perguntaria seja teve um contato com a engenharia social? Isso 
é bem possivel. Mas depois de ler os Capitulos 2 a 9, vocé sabera como ter a palavra final quando o 
proximo engenheiro social ligar. 


Na Parte 3, vocé vé como o engenheiro social faz as suas apostas em histérias criadas para mos7 
trar como ele pode entrar nas instalagdes da sua corporacgao, roubar o tipo de segredo que pode criar 
ou destruir a sua empresa e frustrar as suas medidas de seguranga de alta tecnologia. Os cenarios 
desta secdo 0 conscientizarao sobre as ameacas que variam da simples vinganca de um empregado 
ate o ciberterrorismo. Se vocé valoriza as informacgdes que mantém a sua empresa funcionando e a 
privacidade dos seus dados, vai querer ler os Capitulos 10 a 14 do inicio ao final. 


E importante observar que a menos que seja declarado o contrario, as piadas deste livro sao pu- 
ramente ficticias. 


Na Parte 4, falo em linguagem corporativa sobre como evitar ataques bem-sucedidos da enge- 
nharia social na sua organiza¢ao. O Capitulo 15 fornece um roteiro de um programa de treinamento 
em seguranca bem-sucedido. E 0 Capitulo 16 pode salvar 0 seu pescogo — ele traz uma politica de 
seguran¢a completa que vocé pode personalizar para a sua organizacao e implementar imediatamente 
para manter seguras a sua empresa e as suas informagoes. 


Finalmente, forneci uma secao Seguranga Rapida, que inclui listas de verificagao, tabelas e grafi- 
cos que resumem as principais informac¢des que vocé pode usar para ajudar seus empregados a frus- 
trar um ataque da engenharia social no trabalho. Essas ferramentas também fornecem informagdes 
valiosas que vocé pode usar para criar seu proprio programa de treinamento em seguranga. 


Vocé também encontra diversos elementos Uteis: as caixas de texto "Jargao" fornecem as defini- 
¢des da engenharia social e a terminologia dos hackers de computadores, os "Recados do Mitnick" 
oferecem em poucas palavras o conhecimento para ajudar a fortalecer a sua estratégia de segurang¢a, 
e as notas e quadros fornecem informacoes praticas ou adicionais. 


Bastidores 


O Elo Mais Fraco da Seguranga 


ma empresa pode ter adquirido as melhores tecnologias de seguranga que o dinheiro pode com- 
prar, pode ter treinado seu pessoal tao bem que eles trancam todos os segredos antes de ir embo- 
ra e pode ter contratado guardas para o prédio na melhor empresa de seguran¢a que existe. 


Mesmo assim essa empresa ainda estara vulneravel. 


Os individuos podem seguir cada uma das melhores praticas de seguranga recomendadas pelos 
especialistas, podem instalar cada produto de seguranca recomendado e vigiar muito bem a configu- 
rag¢ao adequada do sistema e a aplicacéo das correcées de seguranga. 


Esses individuos ainda estarao completamente vulneraveis. 


O FATOR HUMANO 


Ao testemunhar no Congresso ha pouco tempo, expliquei que poderia conseguir senhas e outras infor- 
mac¢oes sigilosas nas empresas fingindo ser outra pessoa e simplesmente pedindo essas informacoes. 


E natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa idéia de seguran- 
ca. Veja o caso do responsavel e carinhoso proprietario de uma casa que tem um Medico, um cadeado 
de fechadura conhecido como sendo a prova de roubo, o qual foi instalado na porta da frente para 
proteger sua esposa, seus filhos e sua casa. Agora ele esta certo de que tornou sua familia muito mais 
segura com relacdo a intrusos. Mas e o intruso que quebra uma janela ou descobre 0 cédigo que abre a 
porta da garagem? Que tal instalar um sistema de seguranga resistente? Isso é melhor, mas nao garante 
nada. Com cadeados caros ou n4o, o proprietario da casa permanece vulneravel 


Por qué? Porque o fator humano é 0 elo mais fraco da seguranga. 


Com freqiiéncia, a segurancga é apenas uma ilusdo, que as vezes fica pior ainda quando entram em 
jogo acredulidade, a inocéncia ou a ignorancia. O cientista mais respeitado do mundo no século XX, 
Albert Einstein, disse: "Apenas duas coisas sao infinitas: 0 universo e a estupidez humana, e eu nao 
tenho certeza se isso é verdadeiro sobre o primeiro". No final, os ataques da engenharia social podem ter 
sucesso quando as pessoas so estupidas ou, em geral, apenas desconhecem as boas praticas da seguran- 
¢a. Com a mesma atitude do nosso proprietario de casa consciente sobre a seguranga, muitos profissio- 
nais da tecnologia da informacao (TI) conservam a idéia errada de que tomaram suas empresas imunes 
ao ataque porque usaram produtos de segurancga padrao — firewalls, sistemas de deteccao de intrusos 
(Intrusion Detection Systems) ou dispositivos avangados de autenticagao, tais como tokens baseados 
no tempo ou cartdes biométricos inteligentes. Todos que acham que os produtos de seguranga sozinhos 
oferecem a verdadeira seguranca estao fadados a sofrer da ilusdo da seguranga, Esse é€ 0 caso de viver 
em um mundo de fantasia: mais cedo ou mais tarde eles serao vitimas de um incidente de seguranga. 


4 A Arte de Enganar 


Como observou o consultor de seguranga Bruce Schneier, "a segurancga nao é um produto, ela é 
um processo". Além disso, a seguran¢a nao é um problema para a tecnologia — ela é um problema 
para as pessoas e a dire¢ao. 


A medida que os especialistas contribuem para 0 desenvolvimento continuo de melhores tecnolo- 
gias de seguranga, tornando ainda mais dificil a exploragao de vulnerabilidades técnicas, os atacantes 
se voltarao cada vez mais para a exploracao do elemento humano. Quebrar a "firewall humana" quase 
sempre é facil, nao exige nenhum investimento além do custo de uma ligacao telefOnica e envolve 
um risco minimo. 


UM CASO CLASSICO DE FRAUDE 


Qual e a maior ameaga a seguranga dos bens da sua empresa? Isso é facil: o engenheiro social, um 
magico inescrupuloso que faz vocé olhar a sua mao esquerda enquanto com a mA@o direita rouba seus 
segredos. Esse personagem quase sempre é tao amistoso, desembaracado e prestativo que vocé se 
sente feliz por té-lo encontrado. 


Dé uma olhada em um exemplo da engenharia social. Nao ha muitas pessoas hoje que ainda se lem- 
bram do jovem chamado Stanley Mark Rifkin e de sua pequena aventura com o agora extinto Security 
Pacific National Bank, de Los Angeles. Os relatos dessa invaséo variam e Rifkin (assim como eu) nunca 
contou a sua propria versao. Assim sendo, 0 que vem a seguir se baseia nos relatérios publicados. 


Descoberta do codigo 


Certo dia em 1978, Rifkin perambulou pela sala de transferéncia eletr6nica com acesso autorizado 
apenas para os funcionarios do Security Pacific, na qual a equipe enviava e transferia varios bilhdes 
de ddlares todos os dias. 


Ele trabalhava como contratado de uma empresa que desenvolvia um sistema de backup para os 
dados da sala de transferéncia para 0 caso de seu computador principal ficar paralisado. Essa funcao 
deu-lhe acesso aos procedimentos de transferéncia, incluindo o modo como os funcionarios do banco 
organizavam o envio de uma transferéncia. Ele aprendeu que os funciondrios do banco que estavam 
autorizados a pedir as transferéncias eletr6nicas recebiam um cddigo diario secreto a cada manha, o 
qual era usado quando ligavam para a sala de transferéncia. 


Na sala de transferéncia, os funciondérios nem se davam ao trabalho de memorizar o cédigo de 
cada dia. Eles escreviam 0 céddigo em um pedaco de papel e 0 colocavam em um lugar no qual podiam 
vé-lo facilmente. Nesse dia de novembro em particular, Rifkin tinha um motivo especifico para a sua 
visita. Ele queria dar uma olhada naquele papel. 


Ao chegar a sala de transferéncia, anotou os procedimentos operacionais, supostamente para ter 
certeza de que o sistema de backup se combinaria com os sistemas normais. Nesse meio tempo, leu 
discretamente 0 codigo de seguranga no pedaco de papel e 0 memorizou. Alguns minutos depois foi 
embora. Como declarou mais tarde, ele se sentiu como se houvesse ganhado na loteria. 


Ha essa conta no banco suico... 


Ao sair da sala 14 pelas 3 horas da tarde, ele foi direto para o telefone piblico no saguaéo de marmore 
do prédio, no qual depositou uma ficha e discou para a sala de transferéncia eletrénica. Em seguida, 
transformou-se de Stanley Rifkin. consultor do banco, em Mike Hansen, um membro do Departa- 
mento Internacional do banco. 
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Segundo uma fonte, a conversacao foi mais ou menos esta: 

"Ola, aqui quem fala é Mike Hansen, do Internacional", ele disse para a jovem que atendeu ao 
telefone. 

Ela pediu o numero do escritério. Esse era um procedimento padrao e ele estava preparado. 
"286", respondeu. 

A garota continuou, "Muito bem, qual é 0 cédigo?" 


Rifkin disse que nesse ponto 0 seu coracgao disparado pela adrenalina "retomou o ritmo". Ele 
respondeu com calma "4789". Em seguida, deu as instrucOes para a transferéncia de "dez milhdes e 
duzentos mil délares exatamente" para o Irving Trust Company de Nova York, a crédito do Wozchod 
Handels Bank de Zurique, Suicga, onde ele ja havia aberto uma conta. 


Em seguida, a garota retrucou: "Muito bem, entendi. Agora preciso do numero de estabelecimen- 
to entre escrit6rios."" 

Rifkin comecou a suar frio; essa era uma pergunta que ele nao havia previsto, algo que havia es- 
quecido nos detalhes da sua pesquisa. Mas conseguiu permanecer calmo, agiu como se tudo estivesse 
bem e respondeu rapidamente: "Eu vou verificar e ligo logo em seguida." Ele ligou para outro depar- 
tamento do banco, s6 que desta vez alegou ser um empregado da sala de transferéncia eletrénica. Ele 
conseguiu 0 numero de estabelecimento e ligou novamente para a garota. 


Ela anotou 0 nimero e agradeceu. (Nessas circunstancias 0 seu agradecimento tem de ser consi- 
derado como algo altamente irénico.) 


Conseguindo o fechamento 


Alguns dias depois, Rifkin voou para a Suica, pegou o seu dinheiro e trocou mais de US$ 8 milhGdes 
com uma agéncia russa por diamantes. Ele voou de volta e passou pela alfandega americana com as 
pedras ocultas no cinto de carregar dinheiro. Ele havia dado o maior desfalque bancArio da historia 
—e fez isso sem usar uma arma, sequer um computador. O curioso é que sua travessura chegou as 
paginas do Guiness Book na categoria de "a maior fraude de computadores". 


Stanley Rifkin usou a arte da fraude — as habilidades e as técnicas que hoje sao chamadas de 
engenharia social. Um planejamento cuidadoso e uma boa conversa foram tudo do que precisou. 

E este livro fala disso — das técnicas da engenharia social (nas quais sou especializado) e como 
se defender contra 0 seu uso na sua empresa. 


A NATUREZA DA AMEACA 


A historia de Rifkin deixa bastante claro como a sua sensa¢ao de seguran¢a pode ser enganosa. Inci- 
dentes como esse — muito bem, eles podem nfo ser desfalques de US$ 10 milhGes, mas séo0 sempre 
prejudiciais — acontecem todos os dias. Vocé pode estar perdendo dinheiro agora mesmo, ou alguém 
pode estar roubando os planos de novos produtos e vocé nem sabe disso. Se isso ainda nao aconteceu 
na sua empresa, o problema nao é se isso acontecera, mas sim quando acontecera. 


Uma preocupacao crescente 


O Computer Security Institute, em sua pesquisa de 2001 sobre os crimes de computadores relatou 
que 85% das organizacOes entrevistadas detectaram quebras na seguran¢a dos computadores nos 12 
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meses anteriores. Esse é um numero assustador: apenas 15 entre cem organizagdes responderam que 
podiam dizer que nao haviam tido uma quebra de seguranga durante o ano. Igualmente assustador 
foi o nimero de organiza¢goes que informaram terem tido prejuizos financeiros devido a quebras na 
seguranca dos computadores: 64%. Bem mais do que metade das organiza¢oes havia tido prejuizos 
financeiros. Tudo isso em um Unico ano. 


Por experiéncia propria, acredito que os nimeros dos relat6rios como esse s4o um pouco exa- 
gerados. Suspeito da agenda das pessoas que realizam uma pesquisa. Mas isso nao quer dizer que o 
dano nao seja extenso. Ele é, sim. Aqueles que nao planejam um incidente de seguranga estao plane- 
jando o fracasso. 


Os produtos comerciais de segurangca empregados na maioria das empresas visam principalmente 
o fornecimento da prote¢4o contra o intruso amador de computadores, assim como as criangas que 
sao conhecidas como script kiddies. Na verdade, esses pretendentes a hackers com software baixa- 
do sao mais um aborrecimento. Quanto maiores as perdas, mais reais as ameacas vindas de atacantes 
sofisticados com alvos bem-definidos e motivados pelo ganho financeiro. Essas pessoas concentram- 
se em um alvo de cada vez e nao s4o0 como os amadores, que tentam se infiltrar no maior nimero 
possivel de sistemas. Enquanto os intrusos amadores de computadores apenas buscam a quantidade, 
Os profissionais visam as informagoes de qualidade e valor 


As tecnologias como os dispositivos de autentica¢gao (para fornecer a identidade), o controle de 
acesso (para gerenciar 0 acesso aos arquivos e recursos do sistema) e os sistemas de deteccao de in- 
trusos (0 equivalente eletrénico dos alarmes contra arrombamento) sao necessarias para um programa 
corporativo de segurancga. Mesmo assim, hoje em dia é tipico de uma empresa gastar mais dinheiro em 
café do que em medidas de contra-ataque para proteger-se dos ataques a seguran¢a. 


Assim como uma mente criminosa nfo resiste a tentagao, a mente do hacker é orientada para en- 
contrar maneiras de burlar as poderosas salvaguardas da tecnologia de seguranca. E em muitos casos, 
eles fazem isso visando as pessoas que usam a tecnologia. 


Praticas fraudulentas 


Ha um ditado popular que diz que um computador seguro é aquele que esta desligado. Isso é inteligente, 
mas é falso: o hacker convence alguém a entrar no escritério e ligar aquele computador Um adversario 
que quer as suas informacoes pode obté-las, em geral, usando uma de varias maneiras. Tudo é uma ques- 
tio de tempo, paciéncia, personalidade e persisténcia. E nesse ponto que entra a arte da fraude. 


Para anular as medidas de seguranga, um atacante, um invasor ou um engenheiro social deve 
encontrar um modo de enganar um usuario de confianga para que ele revele as informac6es, ou de- 
ve enganar alguém importante para que ele forneca 0 acesso. Quando os empregados de confianga sao 
enganados, influenciados ou manipulados para revelar informac6es sigilosas ou para executar ages 
que criem um buraco na seguranga para que o atacante se infiltre, nenhuma tecnologia do mundo pode 
proteger uma empresa. Assim como os analistas de criptografia podem revelar o texto simples de uma 
mensagem codificada encontrando um ponto fraco que permita que desviem da tecnologia da cripto- 
grafia, os engenheiros sociais enganam os seus empregados para desviar da tecnologia da seguran¢a. 


ABUSO DE CONFIANCA 


Na maioria dos casos, os engenheiros sociais bem-sucedidos tém uma habilidade muito boa em lidar 
com as pessoas. Eles sfo charmosos, educados e agradam facilmente — os tra¢gos sociais necessarios 
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para estabelecer a afinidade e confianga. Um engenheiro social experiente pode ter acesso a pratica- 
mente qualquer informagao-alvo usando as estratégias e taticas da sua habilidade. 

Os tecnologistas experientes tém desenvolvido solucgdes de seguran¢a da informacao para mini- 
mizar os riscos ligados ao uso dos computadores, mas mesmo assim deixaram de fora a vulnerabili- 
dade mais significativa: o fator humano, Apesar do nosso intelecto, nds humanos — vocé, eu e todas 
as outras pessoas — continuamos sendo a ameac¢a mais séria a seguranc¢a do outro. 


O nosso carater nacional 


Nao temos consciéncia da ameaga, em particular no mundo ocidental, Nos Estados Unidos, nao somos 
treinados para suspeitarmos uns dos outros. Somos ensinados a "amar 0 pr6ximo" e ter confianga e fé 
uns nos outros. Veja como é dificil para as organizagoes de vigilancia de vizinhanca fazer com que as 
pessoas tranquem suas casas e seus carros. Esse tipo de vulnerabilidade é 6bvio, e mesmo assim parece 
ser ignorado por muitas pessoas que preferem viver em um mundo de sonhos — até se queimarem. 


Sabemos que nem todas as pessoas sao gentis e honestas, mas vivemos como se elas fossem. 
Essa adoravel inocéncia tem sido a estrutura da vida americana e é doloroso desistir dela, Como uma 
na¢ao, incorporamos ao nosso conceito de liberdade a idéia de que o melhor lugar para viver é aquele 
sem cadeados e chaves, 


A maioria das pessoas sup6e que nao sera enganada, com base na crenga de que a probabilidade de 
ser enganada é muito baixa; 0 atacante, entendendo isso como uma crenga comum, faz a sua solicita- 
cao soar tao razodvel que nao levanta suspeita enquanto explora a confianga da vitima. 


Inocéncia organizacional 


Essa inocéncia que faz parte do nosso carater nacional ficou evidente quando os computadores foram 
conectados remotamente pela primeira vez. Lembre-se de que a ARPANéet (a Rede da Agéncia de 
Projetos de Pesquisa Avangada do Departamento de Defesa), a antecessora da Internet, foi criada 
como um modo de compartilhar informag6es de pesquisa entre 0 governo e as instituigdes de pesquisa 
e educacionais. O objetivo era a liberdade de informagées, bem como o avanco tecnoldégico. Muitas 
instituigdes educacionais, portanto, configuraram os primeiros sistemas de computadores com pouca 
ou nenhuma seguran¢a, Um libertario famoso dos computadores, Richard Stallman, até se recusou a 
proteger a sua conta com uma senha. 


Mas com a Internet sendo usada para 0 comércio eletrénico, os perigos da pouca seguran¢a do 
nosso mundo eletrOnico mudaram muito. O emprego de mais tecnologia nao vai solucionar o proble- 
ma da seguran¢ga humana, 


Basta dar uma olhada em nossos aeroportos hoje, A seguranga tornou-se imperativa e mesmo 
assim somos surpreendidos com noticias de passageiros que conseguiram burlar a seguran¢a e passar 
com armas pelos pontos de checagem. Como isso é possivel em uma época na qual os nossos aero- 
portos estaéo em tal estado de alerta? Os detectores de metal estao falhando? Nao. O problema nao sao 
as maquinas, mas o fator humano: as pessoas que operam a maquina. Os funcionarios dos aeroportos 
podem dirigir a Guarda Nacional e instalar detectores de metal e sistemas de reconhecimento facial, 
mas a educacao da equipe de frente da seguranca sobre como examinar adequadamente os passageiros 
pode ajudar muito mais, 


O mesmo problema existe dentro do governo, das empresas e das instituigdes educacionais de 
todo o mundo, Apesar dos esforgos dos profissionais de seguranga, as informagdes em toda a parte 
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permanecem vulnerdaveis e continuarao sendo vistas como um alvo pelos atacantes que tém habilida- 
des de engenharia, até que 0 elo mais fraco da cadeia de seguranga, o elo humano, seja fortalecido, 


Agora mais do que nunca devemos aprender a parar de ser otimistas e nos tornarmos mais 
conscientes das técnicas que estao sendo usadas por aqueles que tentam atacar a confidencialidade, 
integridade e disponibilidade das informagdes dos nossos sistemas e redes de computadores. Nos 
acostumamo-nos a aceitar a necessidade da direcao segura; agora esta na hora de aceitar e aprender a 
pratica da computacao defensiva. 


A ameaca de uma invasdo que viola a nossa privacidade, a nossa mente ou os sistemas de in- 
formag6es da nossa empresa pode nao parecer real até que aconte¢a. Para evitar tamanha dose de 
realidade precisamos nos conscientizar, educar, vigiar e proteger os nossos ativos de informacoes, 
as nossas informag6es pessoais e as infra-estruturas criticas da nossa nacgao. E devemos implementar 
essas precaucdes hoje mesmo. 


TERRORISTAS E FRAUDE 


E 6bvio que a fraude nao é uma ferramenta exclusiva do engenheiro social. O terrorismo fisico é mais 
noticiado e tivemos de reconhecer como nunca antes que o mundo é um lugar perigoso. Afinal de 
contas, a civilizacgao é apenas um verniz superficial. 


Os ataques a Nova York e Washington, D.C, em setembro de 2001, infundiram tristeza e medo 
nos coracdes de cada um de nds — nao apenas nos americanos, mas também em todas as pessoas bem- 
intencionadas de todas as nagdes. Agora estamos alertas para o fato de que ha terroristas obcecados 
localizados em todo o planeta, bem treinados e aguardando para lan¢ar outros ataques contra nés. 


O esforco recentemente intensificado do nosso governo aumentou os niveis de nossa conscién- 
cia de seguran¢a. Precisamos permanecer alertas, em guarda contra todas as formas de terrorismo e 
entender como os terroristas criam identidades falsas, como assumem os papéis de alunos e vizinhos 
e se misturam a multidao. Eles mascaram suas crengas verdadeiras enquanto conspiram contra nds 
— praticando truques de fraude semelhantes aqueles que vocé vera nestas paginas. 


Embora até onde eu saiba os terroristas ainda nao usaram as artimanhas da engenharia social 
para se infiltrarem nas corpora¢goes, nas estagdes de tratamento de agua, nas instalagdes de geracao de 
eletricidade ou em outros componentes vitais da nossa infra-estrutura nacional, 0 potencial para isso 
existe. E isso é muito facil. A consciéncia de seguranga e as politicas de segurancga que espero sejam 
colocadas em pratica e implantadas pelo gerenciamento corporativo de primeiro escalao por causa 
deste livro nao virao cedo demais. 


SOBRE ESTE LIVRO 


A seguran¢a corporativa é uma questao de equilibrio. Pouca ou nenhuma segurang¢a deixa a sua em- 
presa vulnerdvel, mas uma énfase exagerada atrapalha a realizacao dos negocios e inibe o crescimento 
e a prosperidade da empresa. O desafio é atingir um equilibrio entre a seguranga e a produtividade. 


Outros livros sobre seguranga corporativa concentram-se na tecnologia de hardware e software e 
nao abordam adequadamente a ameag¢a mais séria de todas: a fraude humana. A finalidade aqui é aju- 
da-lo aentender como vocé, seus colegas e as outras pessoas da sua empresa estao sendo manipulados 
e ensina-lo a erguer as barreiras para pararem de ser vitimas. O livro concentra-se principalmente nos 
métodos nao técnicos que os invasores hostis usam para roubar informacOes, comprometer a integri- 
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dade das informag6es que se acredita estarem seguras, mas que nao estado, ou para destruir 0 produto 
de trabalho da empresa. 


A minha tarefa torna-se mais dificil por causa de uma Unica verdade; cada leitor tera sido manipu- 
lado pelos maiores especialistas de todos os tempos da engenharia social — seus pais. Eles encontra- 
ram maneiras de fazer com que vocé — "para o seu proprio bem" — fizesse aquilo que achavam ser 
o melhor Os pais tomam-se os grandes contadores de hist6rias da mesma forma que os engenheiros 
sociais desenvolvem com habilidade cada uma das historias plausiveis, dos motivos e das justificati- 
vas para atingir seus objetivos. Sim, todos fomos moldados por nossos pais: benevolentes (e, as vezes, 
nem tanto) engenheiros sociais. 


Condicionados por aquele treinamento, tornamo-nos vulneraveis 4 manipulacao. Terfamos uma 
vida dificil se tivéssemos de estar sempre em guarda e desconfiando dos outros, preocupados com 
o fato de sermos feitos de bobos por alguém que esta tentando se aproveitar de nds. Em um mundo 
perfeito, confiariamos implicitamente nos outros, certos de que as pessoas que encontramos serao ho- 
nestas e confidveis. Mas nao vivemos em um mundo perfeito e, portanto, temos de exercer um padrao 
de vigilancia para repelir os esforgos fraudulentos dos nossos adversarios. 


As principais partes deste livro, as Partes 2 e 3, sao formadas por historias que mostram os enge- 
nheiros sociais em acao. Nessas secdes, vocé lera sobre: 


¢ O que os phreaks (hackers da telefonia) descobriram ha anos: um método simples para obter 
um numero de telefone nao relacionado na empresa de telefonia. 


e V4rios métodos diferentes usados pelos atacantes para convencer até mesmo os empregados 
alertas e desconfiados a revelarem seus nomes de usuario e as senhas de computador 


¢ Como um gerente do Centro de Operac6es cooperou para permitir que um atacante roubasse 
as informagoes de produto mais secretas da sua empresa. 


e¢ Os métodos de um atacante que enganou uma senhora para baixar software que espia cada 
tecla que ela digita e envia os detalhes por e-mail para ele. 


¢ Como os detetives particulares obtém as informagdes sobre a sua empresa e sobre vocé, e 
posso garantir que isso fara vocé sentir um arrepio na espinha. 


Vocé pode achar que as historias das Partes 2 e 3 nao sao possiveis, que ninguém poderia ter 
sucesso com as mentiras, com os truques sujos e os esquemas descritos. A verdade é que, em cada um 
desses casos, as hist6rias descrevem eventos que podem acontecer e acontecem; muitas delas estao 
acontecendo todos os dias em algum lugar do planeta, talvez até mesmo estejam acontecendo na sua 
empresa enquanto vocé esta lendo. 


Essas informagées abrirao seus olhos para que vocé proteja a sua empresa, rebata os avancos de 
um engenheiro social e proteja a integridade das informacoes na sua vida privada. 


Na Parte 4, mudo de assunto. O meu objetivo aqui é ajudar vocé a criar as politicas de negécios 
e o treinamento em conscientiza¢ao necessarios para minimizar as chances de seus empregados se- 
rem enganados por um engenheiro social. O entendimento das estratégias, dos métodos e das taticas 
do engenheiro social o ajudara a preparar-se para empregar controles razoaveis que salvaguardam os 
seus ativos de TI, sem afetar a produtividade da sua empresa. 


Em resumo, escrevi este livro para aumentar a sua conscientizacgao sobre a séria ameaga repre- 
sentada pela engenharia social e para ajuda-lo a ter certeza de que a sua empresa e seus empregados 
tém menos chances de serem explorados dessa maneira. 


Ou, quem sabe, devesse dizer bem menos chances de serem explorados novamente, 


A Arte do 
Atacante 


Quando as Informacoes Nao Sao 
Inofensivas 


acordo com a maioria das pessoas, qual é a verdadeira ameaga dos engenheiros sociais? O que 
océ deve fazer para se proteger? 


Se o objetivo é capturar algum prémio altamente valioso — digamos um componente vital do 
capital intelectual da empresa —, entao talvez vocé precise, no sentido figurado, apenas de um cofre 
mais forte e de guardas mais armados. Certo? 


Mas na verdade a invasao da seguranga de uma empresa quase sempre comec¢a com 0 cara mau 
obtendo alguma informacado ou algum documento que parece ser muito inocente, t40 comum e sem 
importancia que a maioria das pessoas da organizacgao nao vé nenhum motivo pelo qual ele deva ser 
protegido e restrito. 


O VALOR OCULTO DAS INFORMACOES 


Grande parte das informag6es aparentemente indcuas de posse de uma empresa é cobicada por ura 
atacante da engenharia social porque ela pode ter um papel vital em seu esforco de se revestir de 
credibilidade. 


Em todas estas paginas, mostro como os engenheiros sociais fazem o que fazem permitindo que 
vocé "testemunhe" os ataques por si mesmo — apresentando a a¢éo sob o ponto de vista das vitimas 
€ permitindo que vocé coloque-se em seu lugar e meg¢a como vocé mesmo (ou talvez um dos seus 
empregados ou colegas) teria respondido. Em muitos casos, vocé também experimentara os mesmos 
eventos sob a perspectiva do engenheiro social. 


A primeira historia examina a vulnerabilidade na industria financeira. 


CREDITCHEX 


Durante muito tempo, os britanicos conviveram com um sistema bancario muito conservador, Como 
um cidadaéo comum, vocé nao podia atravessar a rua e abrir uma conta no banco. Nao, o banco nem 
pensaria em aceita-lo como cliente, a menos que algum cliente ja bem estabelecido lhe fornecesse 
uma carta de recomendagao. 


Isso € muito diferente do aparentemente igualitario sistema bancario de hoje. Em nenhum outro 
lugar a nossa moderna facilidade de fazer negdécios esta em mais evidéncia do que na América demo- 
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cratica e amistosa, na qual quase todos podem entrar em um banco e abrir facilmente uma conta cor- 
rente, certo? Bom, as coisas nao sao bem assim. A verdade é que os bancos tem uma compreensivel 
relutancia natural em abrir uma conta para alguém que pode ter um histérico de emitir cheques sem 
fundo — isso seria como dar as boas-vindas a uma folha corrida de roubos a banco e condenag6es por 
desfalques. Assim sendo, muitos bancos adotam a pratica padrao de atribuir polegares para cima ou 
para baixo para um possivel novo cliente. 


Uma das principais empresas que os bancos contratam para obter essas informacgoées é um local 
que chamaremos de CreditChex. Elas fornecem um servico valioso a seus clientes, mas, assim como 
muitas empresas, também podem fornecer sem querer um servico Util para os engenheiros sociais 
bem informados. 


A_primeira ligacao: Kim Andrews 


"National Bank, Kim. Vocé quer abrir uma conta hoje?" 

"Ola, Kim. Eu quero fazer uma pergunta. Vocés usam a CreditChex?" 

"Sim." 

"Quando vocés ligam para a CreditChex, como vocé chama o numero que fornece — um 
MD do Comerciante'"? 


Ha uma pausa; ela esta pensando na pergunta, perguntando-se do que se tratae se ela 
deve responder. 


O interlocutor continua rapidamente sem perder o ritmo: "Sabe, Kim. estou escrevendo 
um livro. Ele trata de investigacdes particulares." 

"Sim", ela diz, respondendo a pergunta com confianga e feliz em ajudar um escritor. 
"Entao vocés chamam esse numero de ID do comerciante, nao 6?" 

"Hum, hum." 


"Otimo, porque eu queria ter certeza de que estava usando a linguagem certa no livro. 
Obrigado pela sua ajuda. Até logo, Kim." 


A_segunda ligacao: Chris Talbert 


"National Bank, Contas Novas, Chris". 


"Ola, Chris. Aqui é€ o Alex", o interlocutor diz. "Eu sou um representante do servico ao 
cliente da CreditChex. Estamos fazendo uma pesquisa para melhorar os nossos 
servicos. Vocé tem alguns minutos?" 


Ela concordou e o interlocutor continua: 

"Muito bem — qual o horario de funcionamento da sua filial?" Ela respondeu e continuou 
respondendo as suas perguntas. 

"Quantos empregados da sua filial usam o nosso servico?" 

"Com que frequéncia vocé liga para nds com uma consulta?" 

"Qual dos nossos numeros 800 nos designamos para vocés usarem ao ligar para nos?" 

"Os nossos representantes sao sempre educados?" 

"Qual € o nosso tempo de resposta?" 
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"Ha quanto tempo vocé trabalha no banco?" 

"Qual ID de Comerciante vocé esta usando no momento?" 

"Vocé ja encontrou alguma imprecisao nas informacoes que fornecemos?" 
"Se vocé tivesse alguma Sugestao para melhorar o nosso servico, qual seria?" 


E finalmente: 


"Vocé se importaria em preencher questionarios periddicos se os enviassemos para a 
sua filial?" 


Ela concordou, eles conversaram um pouco, o interlocutor desligou e Chris voltou ao 
trabalho. 


A terceira ligacao: Henry McKinsey 


"CreditChex, Henry McKinsey, posso ajudar?" 


O interlocutor disse que ele era do National Bank, Ele deu o ID de Comerciante adequado 
e. em seguida, 0 nome e o numero do seguro social da pessoa de quem ele queria infor- 
macoes. Henry pediu a data de nascimento e o interlocutor forneceu-a também. 


Apos alguns instantes, Harry leu alistagem na tela do seu computador. 


‘Wells Fargo informou NSF em 1998, uma vez, valor de US$ 2.066." NSF — fundos 
insuficientes — é a linguagem conhecida para os cheques que foram passados sem 
que houvesse dinheiro em conta para a sua compensagao. 


"Alguma atividade desde entao?" 
"Nenhuma atividade." 


"Houve outras consultas?" 


"Vejamos. Sim, duas e ambas no ultimo més. A terceira no United Credit Union, de 
Chicago." Ele parou no proximo nome, Schenectady Mutual Investments, e teve de so- 
letra-lo. "Isso € no Estado de Nova York", ele acrescentou. 


O detetive particular em acao 


Todas aquelas trés ligagdes foram feitas pela mesma pessoa: um detetive particular que chamaremos 
de Oscar Grace. Grace tinha um cliente novo, um de seus primeiros clientes. Ele era tira ha alguns 
meses e descobriu que parte desse novo trabalho veio naturalmente, mas outra parte representava um 
desafio para Os seus recursos e a sua criatividade. 


Esse cliente classificava-se sem duvida na categoria do desafio. Os insensiveis olhos privados da 
ficgao — os Sam Spades e os Philip Marlowes — passaram madrugadas sentados em carros obser- 
vando uma esposa infiel. Os detetives da vida real fazem 0 mesmo. Eles também fazem coisas sobre 
as quais nao se escreve tanto, mas um tipo nao menos importante de espionagem de esposas, um 
método que depende mais das habilidades de engenharia social do que da luta contra 0 aborrecimento 
das vigilias na madrugada. 


O novo cliente de Grace era uma senhora que parecia ter um orcamento bastante grande para rou- 
pas e jOias. Ela entrou certo dia no seu escrit6rio e sentou-se na cadeira de couro, a unica que nao tinha 
papéis empilhados. Ela colocou a sua bolsa Gucci na mesa com o logotipo virado para ele e anunciou 
que pretendia dizer ao marido que queria se divorciar, mas admitia ter "apenas um probleminha". 
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Parece que o seu marido estava um passo adiante. Ele j4 havia sacado o dinheiro de sua conta 
poupancga e uma soma maior ainda da sua conta em uma corretora. Ela queria saber o destino do seu 
patrim6nio e 0 advogado do seu divércio nao estava ajudando muito. Grace conjecturou que o ad- 
vogado era um daqueles conselheiros de altos salarios que nao queriam sujar as maos com algo tao 
complicado quanto saber aonde foi parar o dinheiro. 


Sera que Grace poderia ajudar? 


Ele garantiu que isso seria facil, fez uma cotacao para o servico, fora as despesas, e recebeu um 
cheque como primeiro pagamento. 


Em seguida, ele enfrentou o seu problema. O que vocé faria se nunca tivesse feito um trabalho 
assim antes e nao soubesse muito bem por onde comegar a rastrear 0 dinheiro? Vocé avanga a passos 
de bebé. Aqui, de acordo com a nossa fonte, esta a histéria de Grace. 


Eu conhecia 0 CreditChex e o modo como os bancos 0 usavam — a minha ex-mulher trabalha- 
va em um banco. Mas nao sabia qual era 0 jargao e os procedimentos e seria perda de tempo tentar 
perguntar isso a ela. 


Etapa um: Aprenda a terminologia e descubra como fazer a solicitagao para que pareca que vocé 
sabe do que esta falando. No banco para o qual liguei, a primeirajovem, Kim, desconfiou quando 
perguntei sobre como eles se identificavam quando ligavam para o CreditChex. Ela hesitou; nao sabia 
se devia contar isso para mim. Fui derrotado por isso? Nem um pouco. Na verdade, a hesitagaéo me 
deu uma pista importante, um sinal de que eu tinha de fornecer um motivo para que ela acreditasse. 
Quando apliquei a mentira de que estava fazendo pesquisas para um livro, ela relaxou. Vocé diz que 
é um escritor ou roteirista e todas as portas se abrem. 


Ela tinha outro conhecimento que teria ajudado — coisas como quais informagédes o CreditChex 
requer para identificar a pessoa sobre a qual vocé esta querendo as informac6es, quais informacées 
vocé pode pedir e a maior delas: qual era o nimero de ID de Comerciante do banco de Kim. Eu estava 
pronto para fazer aquelas perguntas, mas a sua hesitagao enviou um sinal vermelho. Ela acreditou 
na historia da pesquisa para um livro, mas ja tinha algumas suspeitas. Se tivesse sido mais receptiva 
desde o inicio, eu teria pedido para que ela revelasse mais detalhes sobre seus procedimentos. 


Vocé tem de confiar em seus instintos, ouvir com atengao o que 0 Mark esta dizendo e como 
ele esta dizendo isso. Essa moga parecia ser bastante inteligente para ouvir o alarme quando fizesse 
muitas perguntas incomuns. E embora ela nao soubesse quem eu era e de qual niimero eu estava 
falando, mesmo assim nesse negé6cio vocé nunca quer que alguém espalhe que esta procurando al- 
guém e liga para obter informa¢6es sobre os negécios. Isso acontece porque vocé nao quer queimar 
a fonte — vocé pode ligar novamente para 0 mesmo escrité6rio em outra ocasiao. 


MARK A vitima de uma conspiracao. 


QUEIMAR A FONTE Diz-se que um atacante queimou a fonte quando ele permite que 
uma vitima reconheca que ocorreu um ataque. Apos a vitima tomar conhecimento e no- 
tificar os outros empregados ou a direcao sobre a tentativa, fica muito dificil explorar 
a mesma fonte em ataques futuros. 
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Sempre observo os pequenos sinais que me dao uma leitura da coopera¢gao de uma pessoa, em 
uma escala que vai desde "Vocé parece uma boa pessoa e acredito em tudo que vocé esta dizendo" até 
"Ligue para a policia, chame a Policia Federal, essa pessoa nao esta querendo boa coisa". 


Entendi que Kim estava um pouco em duvida, assim, liguei para alguém de uma filial diferente. Na 
minha segunda ligagéo com Chris, o truque da pesquisa a encantou. A tatica aqui é incluir as perguntas 
importantes entre aquelas sem conseqiiéncias que sao usadas para criar uma idéia de credibilidade. 
Antes de entrar com a pergunta sobre o nimero do ID de Comerciante do CreditChex, fiz um pequeno 
teste de ultima hora fazendo uma pergunta pessoal sobre ha quanto tempo ela trabalhava no banco. 


Uma pergunta pessoal e como um campo minado — algumas pessoas pisam sobre uma mina e 
nunca percebem; no caso de outras pessoas, a mina explode e faz com que elas saiam correndo em 
busca de segurancga. Assim sendo, se eu fizer uma pergunta pessoal, ela responder a pergunta e 0 tom 
da sua voz nao mudar, isso significa que provavelmente ela nao é cética sobre a natureza da solicita- 
cao. Posso seguramente fazer a pergunta que estou querendo sem levantar suas suspeitas, e ela talvez 
me dara a resposta que desejo. 


Mais uma coisa que um bom detetive particular sabe: nunca encerre uma conversacao apos obter 
a informacao-chave. Outras duas ou trés perguntas, um pouco de bate-papo e entao pode dizer adeus. 
Mais tarde, se a vitima se lembrar de alguma coisa que vocé perguntou, provavelmente ela se lembra- 
ra das ultimas perguntas. O restante em geral sera esquecido. 


Assim, Chris me deu o seu numero de ID de Comerciante e 0 numero de telefone que eles ligam 
para fazer as solicitagoes, Eu ficaria mais feliz se tivesse feito algumas perguntas sobre quantas infor- 
mac6es é possivel obter da CreditChex. Mas achei melhor nao abusar da minha sorte. 


Isso era como ter um cheque em branco da CreditChex. Agora eu podia ligar e obter informag6es 
sempre que quisesse. E nem tinha de pagar pelo servico. O representante da CreditChex ficou satis- 
feito em compartilhar exatamente das informag6es que eu queria; os dois lugares nos quais 0 marido 
da minha cliente havia se inscrito recentemente para abrir uma conta. Assim sendo, onde estavam os 
bens que a sua futura ex-mulher estava procurando? Onde mais além das instituigdes bancarias que o 
funcionario da CreditChex relacionou? 


a Mitnick 


Um ID de Comerciante nessa situagao € como uma senha. Se o pessoal do banco o tra- 
tasse como uma senha de caixa eletronico, eles poderiam apreciar a natureza delicada 
das informacoes. Ha algum codigo interno ou um numero na sua organizacgao que nao 
esteja sendo tratado com cuidado suficiente pelas pessoas? 


Analisando a trapaca 


Todo esse ardil baseou-se em uma das taticas fundamentais da engenharia social: ganhar acesso 4s in- 
formagdes que 0 empregado de uma empresa trata como inofensivas, quando na verdade elas nao sao. 


A primeira funcionaria do banco confirmou a terminologia para descrever o numero de identifica- 
cao usado ao ligar para o CreditChex: o ID de Comerciante. A segunda forneceu o numero de telefone 
para ligar para o CreditChex e a informa¢ao mais vital: o numero de ID de Comerciante. Todas essas 
informag6es pareciam ser inofensivas para a funciondria. Afinal de contas, ela achou que estava falando 
com alguém do CreditChex — e assim, qual seria o mal de divulgar o nimero? 
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Tudo isso criou a base para a terceira ligagao. Grace tinha tudo 0 que precisava para ligar para a 
CreditChex, para se passar como representante de um de seus bancos clientes, 0 National, e simples- 
mente pedir as informag6es que estava querendo. 


Com habilidades para roubar informagoes tao boas quanto aquelas que um trapaceiro tem para 
roubar o seu dinheiro, Grace tinha talentos bem treinados para ler as pessoas. Ele conhecia a tatica 
comum de esconder as principais perguntas entre aquelas mais inocentes. Ele sabia que uma pergunta 
pessoal testaria a disposicaéo da segunda funcionaria em cooperar antes de pedir inocentemente o 
numero do ID de Comerciante. 


O erro do primeiro funcionario ao confirmar a terminologia para o numero do ID do CreditChex 
fol um erro quase impossivel de ser evitado. As informag6es sao tao conhecidas dentro da industria 
bancaria que elas parecem nao ter importancia — o proéprio modelo da inocéncia. Mas a segunda 
funcionaria, Chris, nao deveria ter sido tao disposta a responder perguntas sem verificar se o interlo- 
cutor era de fato quem dizia ser Ela deveria pelo menos ter anotado seu nome e numero e ter ligado 
novamente. Dessa forma, se mais tarde surgisse alguma dtvida, ela teria um registro do numero do 
telefone usado pela pessoa. Neste caso, uma ligagao como essa tomaria muito mais dificil para o 
atacante disfarcar-se de representante do CreditChex. 


Teria sido melhor ainda ligar para o CreditChex usando um numero que o banco ja tinha em seus 
registros — nao um numero fornecido pelo interlocutor — para verificar se a pessoa realmente traba- 
Ihava 14, e se a empresa eslava realmente fazendo uma pesquisa com os clientes. Dados os detalhes 
praticos do mundo real e as pressOes de tempo sob as quais a maioria das pessoas trabalha hoje em 
dia. seria muito esperar esse tipo de ligacao telef6nica de verificagao, exceto quando um empregado 
suspeita de que algum tipo de ataque esta sendo realizado, 


A ARMADILHA DE ENGENHEIRO 


E de conhecimento geral que as empresas caga-talentos usam as taticas da engenharia social para 
recrutar talentos corporativos. Este 6 um exemplo de como isso pode acontecer. 


No final dos anos de 1990, uma agéncia de empregos nao muito ética conseguiu um cliente novo, 
uma empresa que estava procurando engenheiros elétricos com experiéncia na industria de telefonia, 
O piv6 do projeto era uma senhora dotada de uma voz rouca e um modo Sexy que ela havia aprendido 
a usar para desenvolver a confianga inicial e afinidade pelo telefone. 


A senhora resolveu atacar um provedor de servicos de telefonia celular para saber se ela pode- 
ria localizar alguns engenheiros que estivessem tentados a atravessar a rua e ir trabalhar para um 
concorrente. Ela nao podia ligar para a telefonista e dizer "Quero falar com alguém que tenha cinco 
anos de experiéncia como engenheiro". Em vez disso, por motivos que ficarao claros em alguns 
instantes, ela comecou o assalto aos talentos buscando uma informacaéo que parecia nao ser nada 
sigilosa, uma informa¢ao que a empresa da para quase todas as pessoas que a pedem. 


A primeira ligagao: a recepcionista 


Usando o nome Didi Sands, a atacante fez uma ligagao para os escritdrios da empresa 
de telefonia celular. Esta foi parte da conversacao: 


Recepcionista: Boatarde. Sou Marie. posso ajudar? 
Didi: Vocé pode me passar para o Departamento de Transportes? 
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Eu nao sei se temos um, vou procurar na minha listagem. Com quem falo? 
Aqui é Didi. 

Vocé esta ligando do prédio ou.,.? 

Nao, eu estou fora do prédio. 

Didi de qué? 

Didi Sands. Eu tinhao ramal de Transportes, mas esqueci. 


2 


Um momento. 


Para evitar suspeitas, nesse ponto Didi fez uma pergunta casual so para manter a conver- 
sa¢gao, com a intengao de estabelecer o fato de que ela estava "por dentro" e familiarizada 
com as localizagdes da empresa. 


D: Em qual prédio vocé esta — Lakeview ou Main Place? 
R: Main Place. (pausa) O numero é 805 555 6469. 


Para ter um backup caso a ligagao para Transportes nao fornecesse aquilo que ela estava 
procurando, Didi disse que ela também queria falar com Imoveis. A recepcionista deu esse 
numero também. Quando Didi pediu para ser transferida para Transportes, a recepcionis- 
ta tentou, mas a linha estava ocupada. 


Nesse ponto, Didi pediu um terceiro numero de telefone, o de Contas a Receber, o qual 
estava localizado em um prédio corporativo em Austin, no Texas. A recepcionista pediu 
para ela aguardar um momento e saiu da linha. Ela estava consultando a Seguranga dizen- 
do que estava com uma ligacao telef6nica suspeita e achou que havia algo de estranho. 
De forma alguma, responderam, e Didi nao teve a menor preocupagao. Ela estava fican- 
do meio aborrecida, mas para a recepcionista isso tudo fazia parte de um dia normal de 
trabalho. Apos cerca de um minuto, a recepcionista voltou a linha procurou o numero 
de Contas a Receber, fez a transferéncia e colocou Didi na linha. 


A segunda ligacao: Peggy 


A proxima conversagao foi assim: 


Peggy: Contas a Receber, Peggy. 
Didi: Oi, Peggy. Aqui é Didi, de Thousand Oaks. 


P: Oi, Didi. 
D: Como vai? 
P: Tudo bem. 


Em seguida, Didi usou um termo familiar no mundo corporativo que descreve o codigo 
de cobrang¢a para designar as despesas no org¢amento de uma organiza¢gao ou grupo de 
trabalho especifico: 


D; Excelente. Tenho uma pergunta. Como encontro o centro de custo de determinado 
departamento? 
P; Vocé tem de falar com o analista de orgamento do departamento. 


D: Vocé sabe quem é o analista de org¢amento para Thousand Oaks — a sede? Eu estou 
tentando preencher um formulario e nao sei qual € o centro de custo apropriado. 

P: S06 sei que quando vocé precisa do numero do centro de custo, vocé liga para o seu 
analista de orgamento. 
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D: Vocé tem um centro de custo no seu departamento ai no Texas? 


P: Temos o nosso proprio centro de custo, mas eles nao nos dao a lista com todos 
eles. 


D: Quantos digitos tem o centro de custo? Por exemplo, qual é 0 seu centro de custo? 
P: Bem, vocé trabalha no SWC ou no SAT? 

Didi nao tinha a menor idéia de quais eram esses departamentos ou grupos, mas isso nao 
importava. Ela respondeu: 

D:9WC. 

P: Entao em geral sao quatro digitos. Onde vocé disse que trabalhava? 

D: Na sede em Thousand Oaks. 

P: Bem, aqui tem um para Thousand Oaks, E 1A5N, com N de Nancy. 

Falando apenas o tempo suficiente com alguém que estava disposto a ajudar, Didi con- 
seguiu o numero do centro de custo de que precisava — uma daquelas informacgoes que 


ninguém pensa em proteger, porque parece algo que nunca tera valor para uma pessoa 
de fora. 


A terceira ligacao: um numero errado Util 


A proxima etapa para Didi seria explorar o numero do centro de custo e transforma-lo 
em algo de valor verdadeiro, usando-o como uma ficha de pdéquer. 


Ela comegou ligando para o departamento de Imoveis fingindo ter ligado para um 
numero errado. Comegando com um "Desculpe incomodar, mas...", ela disse que era 
uma funcionaria que havia perdido a lista de telefones da empresa e perguntou para 
quem ela deveria ligar para conseguir uma outra copia. O homem disse que a copia 
impressa estava desatualizada, porque ela estava disponivel no site da intranet da 
empresa. 


Didi disse que preferia usar uma copia impressae o homem disse para ela ligar para Pu- 
blicagdes e, em seguida, sem que ela pedisse — talvez sO para manter a senhora com voz 
sexy mais um pouco na linha — procurou o numero e o forneceu para ela. 


A quarta ligacao: Bart, em Publicacoes 


Em Publicagoes, ela falou com um homem chamado Bart. Didi disse que era de 
Thousand Oaks e que eles tinham um consultor novo que precisava de uma copia da 
lista de telefones da empresa. Ela disse que uma copia impressa funcionaria melhor 
para o consultor, mesmo que estivesse meio desatualizada. Bart disse que ela teria de 
preencher um formulario de requisi¢ao e envia-lo para ele. 


Didi disse que estava sem formularios e com muita pressa, e perguntou se Bart nao pode- 
ria fazer o favor de preencher o formulario para ela. Ele concordou, nao muito entusiasma- 
do, e Didi forneceu os detalhes. Como endereco da contratada ficticia, ela deu o numero 
daquilo que os engenheiros sociais chamam de rnail drop, 0 qual, nesse caso, era uma 
empresa de caixas postais na qual a sua empresa alugava caixas postais para situacdes 
como aquela. 

A preliminar anterior tornou-se util agora: seria cobrada uma taxa pelo custo e envio da 
lista. Muito bem — Didi deu o centro de custo de Thousand Oaks: 


"1A5N, com N de Nancy". 
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MAIL DROP O termo do engenheiro social para uma caixa postal alugada, em geral 
com um nome ficticio, a qual € usada para o recebimento de documentos ou pacotes 
que a vitima foi convencida a enviar. 


Alguns dias depois, quando chegou a lista de telefones corporativos, Didi descobriu que 
isso valia mais a pena do que ela havia imaginado: ela nao apenas tinha os nomes e nu- 
meros de telefones, mas também quem trabalhava para quem — a estrutura corporativa 
de toda a organizag¢ao. 


A senhora de voz forte estava pronta para comegar a cacar o seu talento e fazer ligacdes 
telefonicas em busca de pessoas. Ela havia trapaceado as informagoes que precisava ter 
para iniciar 0 seu ataque usando o dom da palavra lapidado ao maximo que cada enge- 
nheiro social habilidoso tem. Agora ela estava pronta para receber a recompensa. 


Recado do 


Assim como as pecas de um quebra-cabeca, cada informacao parece irrelevante sozi- 
nha. Porém, quando as pecas sao juntadas, uma figura aparece. Neste caso, a figura do 
engenheiro social mostrou toda a estrutura interna da empresa. 


Analisando a trapacga 


Neste ataque da engenharia social, Didi comegou conseguindo os telefones dos trés departamentos 
da empresa-alvo. Isso foi facil, os nimeros que ela queria nao eram segredo, particularmente para os 
empregados. Um engenheiro social aprende a se fazer passar por alguém de dentro da empresa e Didi 
fazia isso com habilidade, 

Um dos nimeros de telefone a levaram a um nimero de centro de custo, o qual foi usado em 
seguida para obter uma cépia da lista de telefones dos funcionarios da empresa. 

As principais ferramentas que ela precisava ter: parecer amistosa, usar um pouco do jargao cor- 
porativo e, com a ultima vitima, jogar um pouco de areia nos olhos dos outros. 

E mais uma ferramenta, um elemento essencial que nao pode ser adquirido facilmente — as ha- 
bilidades de manipulagao do engenheiro social refinadas por meio de extensa pratica e as ligdes nao 
escritas pelas geracdes de homens de confianga. 


MAIS INFORMACOES "VALIOSAS" 


Alem de um niimero de centro de custo e dos ramais dos telefones internos, quais outras informacdes 
aparentemente intiteis podem ser valiosissimas para 0 seu inimigo? 


Ligacao telefonica para Peter Abel 


"Oi", avoz no outro lado da linha diz. "Sou Tom. da Parkhurst Travel. As suas passagens 
para Sao Francisco estao prontas. Vocé quer que as entreguemos ou vai retira-las?" 
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"Sao Francisco?", diz Peter. "Eu nao vou para Sao Francisco." 
"O senhor é Peter Abeis?" 
"Sim, mas eu nao tenho nenhuma viagem programada." 


"Bem", disse o interlocutor com uma risada amistosa, Vocé tem certeza de que nao quer 
ir a Sao Francisco?", 


"Se vocé acha que pode convencer o meu chefe... ", retruca Peter, brincando com a 


conversa amistosa. 


"Parece que houve alguma confusao", salienta o interlocutor, "No nosso sistema, tomamos 
as providéncias de viagem pelo numero de empregado. Talvez alguém tenha usado o 
numero errado. Qual € o seu numero de empregado?" 


Peter informa o seu numero. E por que nao? Ele aparece em quase todos os formula- 
rios pessoais que preenche, muitas pessoas da empresa tém acesso a ele — recursos 
humanos, folha de pagamento e, obviamente, a agéncia externa de viagens. Ninguém 
trata um numero de empregado como um segredo. Que diferenga faria? 


A resposta nao é dificil de descobrir. Duas ou trés informagoes seriam o suficiente para 
montar uma farsa efetiva — o engenheiro social usando a identidade de outra pessoa. 
Consiga 0 nome de um empregado, o seu numero de telefone, 0 seu numero de emprega- 
do, e quem sabe também o nome e numero de telefone do seu gerente, e um engenheiro 
social a caminho de ser competente tem a maior parte daquilo que ele precisa para pare- 
cer auténtico para o proximo alvo. 


Se alguém dizendo que era de outro departamento dentro da sua empresa ligasse ontem, 
desse um motivo plausivel e pedisse 0 seu numero de empregado, vocé relutaria em dar- 
lhe a informagao? 


E por falar nisso, qual € 0 seu numero de seguro social? 


Recado do 


A moral da historia é: nao dé nenhuma informacao pessoal ou interna da empresa, nem 
identificadores para ninguém, a menos que a sua voz seja conhecida e o solicitante 
tenha necessidade de saber a informacao. 


EVITANDO A TRAPACA 


A sua empresa tem a responsabilidade de informar os empregados sobre como pode ocorrer um erro 
sério quando informag6es nao ptblicas sao tratadas da forma errada. Uma politica de seguranca 
bem desenvolvida, combinada a educacao e treinamento adequados, aumenta bastante a consciéncia 
do empregado sobre o tratamento correto das informag6es comerciais corporativas. Uma politica 
de classificagaéo de dados ajuda vocé a implementar os controles adequados para a divulga¢ao das 
informag6des. Sem uma politica de classificagao de dados, todas as informagdes internas devem ser 
consideradas confidenciais, a menos que seja especificado o contrario. 


Use estas etapas para proteger a sua empresa contra a divulgacao de informa¢oes aparentemente 
inofensivas: 


¢ O Departamento de Seguranga das Informagées precisa realizar 0 treinamento da conscien- 
tizacao, o qual detalha os métodos usados pelos engenheiros sociais. O método descrito an- 
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teriormente é 3 obtencdo de informa¢des aparentemente nao sigilosas e 0 seu uso como uma 
ficha de p6quer para ganhar a confianga de curto prazo. Cada um dos empregados precisa ter 
consciéncia de que o falo de um interlocutor ter conhecimento dos procedimentos da empresa, 
da linguagem e dos identificadores internos nao da de maneira nenhuma a forma ou a auten- 
ticagao para o solicitante, nem o autoriza a ter a necessidade de saber as informacgdes. Um 
interlocutor pode ser um ex-empregado ou contratado com as informag6es internas requisitas. 
Da mesma forma, cada corpora¢aéo tem a responsabilidade de determinar o método apropriado 
de autenticagao a ser usado quando os empregados interagem com as pessoas que eles nao 
conhecem pessoalmente ou pelo telefone. 


A pessoa ou as pessoas que tém o papel e a responsabilidade de criar uma politica de classi- 
ficagao de dados devem examinar os tipos de detalhes que parecem inofensivos e podem ser 
usados para obter 0 acesso dos empregados legitimos, mas esses detalhes podem levar a in- 
formagées sigilosas. Embora vocé nunca daria os cédigos de acesso do seu cartao eletrdnico, 
diria a alguém qual servidor vocé usa para desenvolver produtos de software para a empresa? 
Essas informag6es poderiam ser usadas por uma pessoa que finge ser outra que tem acesso 
legitimo a rede corporativa? 


O simples conhecimento da terminologia interna pode fazer com que um engenheiro social 
pareca assumir autoridade e conhecimento. O atacante quase sempre usa esse erro comum de 
conceito para fazer com que suas vitimas colaborem. Por exemplo, um ID de Comerciante é um 
identificador que as pessoas do departamento de Contas Novas de um banco usam todos os dias. 
Mas tal identificador é exatamente igual a uma senha. Se cada um dos empregados entender a 
natureza desse identificador — o qual é usado para autenticar positivamente um solicitante —, 
eles poderao traté-lo com mais respeito. 


Nenhuma empresa — bem, pelo menos muito poucas — da os numeros dos telefones diretos 
de seus CEOs ou diretores. A maioria das empresas, porém, nao se preocupa em dar os nime- 
ros de telefones da maioria dos departamentos e grupos de trabalho da organizacaéo — parti- 
cularmente para alguém que é ou parece ser um empregado. Uma medida de contra-ataque 
possivel seria implementar uma politica que proibe a divulgacao dos numeros internos de 
funcionarios, contratados, consultores e temporarios para as pessoas que nao sao da empresa. 
O mais importante é desenvolver um procedimento passo a passo para identificar positiva- 
mente se um interlocutor que esta pedindo os numeros de telefone é de fato um empregado. 


Recado do 


Como diz o ditado; até mesmo os verdadeiros paranoicos provavelmente tém inimigos. 
Devemos assumir que cada empresa também tem os seus — os atacantes que visam a 
infra-estrutura da rede para comprometer os segredos da empresa. Nao acabe sendo 
uma estatistica nos crimes de computadores; esta mais do que na hora de armazenar 
as defesas necessarias implementando controles adequados por meio de politicas de 
seguranca e procedimentos bem planejados. 


e Oscddigos contabeis dos grupos de trabalho e departamentos, bem como as cépias do direté- 
rio corporativo (uma cépia impressa, um arquivo de dados ou uma lista eletronica de telefo- 
nes na intranet) sao alvos freqiientes dos engenheiros sociais. Cada empresa precisa ter uma 
politica escrita e bem divulgada sobre a revelac¢ao desse tipo de informagao. As salvaguardas 
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devem incluir a manutencdo de um registro de auditoria que estabelece os casos em que as 
informagoées sigilosas sao divulgadas para as pessoas de fora da empresa. 


e Informago6es, tais como um numero de empregado, por si s6, néo devem ser usadas como 
nenhum tipo de autenticagao. Todo empregado deve ser treinado para verificar nado apenas a 
identidade do solicitante, como também a necessidade que o requisitante tem de saber 


e No seu treinamento de seguranga, vocé deve pensar em ensinar essa abordagem aos funcio- 
narios: sempre que um estranho pedir um favor, saiba primeiro como negar educadamente até 
que a solicitagao possa ser verificada. Em seguida, antes de ceder ao desejo natural de ser o Sr 
ou a Sra. Ajuda, siga as politicas e os procedimentos da empresa com relacao a verificagao e 
divulgacao das informag6es nao publicas. Esse estilo pode ir contra a nossa tendéncia natural 
de ajudar os outros, mas um pouco de parandia saudavel pode ser necessaria para evitar sera 
proxima vitima do engenheiro social. 


Como mostraram as hist6rias deste capitulo, as informagdes aparentemente inofensivas podem 
ser a chave para os segredos mais valiosos da sua empresa. 


O Ataque Direto: Simplesmente 
Pedindo 


uitos ataques de engenharia social sAo complicados e envolvem diversas etapas e planeja- 
mento elaborado, além de combinar 0 conhecimento da manipulacao e tecnologia. 


Sempre achei incrivel como um engenheiro social habilidoso pode atingir esse objetivo com um 
ataque simples e direto. Como vocé vera, as vezes tudo 0 que ele precisa é simplesmente pedir as 
informac6es. 


UM MLAC RAPIDO 


Vocé quer saber o telefone de alguém que n4o esta na lista? Um engenheiro social pode lhe dar meia 
duzia de maneiras (e vocé encontrara algumas delas descritas nas historias deste livro), mas provavel- 
mente 0 cenario mais simples é aquele que usa uma Unica ligacao telefOnica como esta, a seguir 


O numero, por favor 


O atacante discou para o numero particular da empresa de telefonia do MLAC, o Centro Mecanizado 
de Designacao de Linhas. Uma mulher respondeu e ele disse: 


"Ola, aqui e Paul Anthony. Eu sou um técnico de cabos. Ouga, uma caixa de terminal aqui foi queima- 
da em um incéndio. Os policiais acham que algum maluco tentou queimar sua propria casa para receber o 
seguro. Eles me mandaram aqui sozinho para tentar refazer a fiagao de todo este terminal de duzentos pa- 
res. Eu estou precisando de ajuda. Quais instalagdes deveriam estar funcionando na South Main, 6723?". 


Em outras empresas de telefonia, a pessoa chamada deveria saber que as informag6es de pesquisa 
inversa sobre os nimeros nao publicados devem ser fornecidas apenas para o pessoal autorizado da 
propria empresa de telefonia. Mas o MLAC s6 é conhecido dos empregados da empresa de telefonia. E 
embora eles nunca deém informagées para o piblico, quem iria se recusar a ajudar um homem da em- 
presa que esta tentando dar conta de uma tarefa dificil? Ela lamentou o fato, porque ela mesma ja havia 
tido dias ruins no trabalho e poderia quebrar um pouco as regras para ajudar um colega com problemas. 
Ela forneceu 0 cabo, os pares e cada numero em funcionamento designado para aquele endereco. 


Analisando a trapaca 


Como vocé vai notar em todas essas histé6rias, o conhecimento da linguagem de uma empresa e de sua 
estrutura corporativa — seus varios escritérios e departamentos, 0 que cada um deles faz e as informa- 
cdes que tem — faz parte da bagagem essencial de truques de um engenheiro social bem-sucedido. 
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Recado do 


E da natureza humana confiar em nossos colegas, particularmente quando a solicitacao 
passa no teste como sendo razoavel. Os engenheiros sociais usam esse conhecimento 
para explorar suas vitimas e atingir seus objetivos. 


UM JOVEM EM FUGA 


Um homem que chamaremos de Frank Parsons estava foragido ha anos, e ainda era procurado pelo 
governo federal por fazer parte de um grupo antiguerra nos anos de 1960. Nos restaurantes, ele se 
sentava de frente para a porta e tinha um jeito desconcertante de sempre estar olhando para tras. Ele 
se mudava de tempos em tempos. 


Certa vez Frank chegou em uma cidade que nao conhecia e comegou a procurar emprego. Para 
alguém como Frank, com as suas habilidades bem desenvolvidas com computadores (e também 
com habilidades de engenharia social, embora ele nunca tenha relacionado isso em uma proposta 
de emprego), encontrar um bom trabalho em geral nao era problema. Exceto nas épocas em que a 
economia estava muito dificil, o talento das pessoas com um bom conhecimento técnico de compu- 
tadores estava em alta e elas nao tinham muitos problemas para dar um jeito. Frank rapidamente 
encontrou uma oportunidade de emprego com um bom salario em uma empresa grande perto de 
onde ele estava morando. 


Isso é perfeito, pensou. Mas quando comecou a preencher os formuldrios para o emprego, encon- 
trou um empecilho: o empregador exigia que 0 candidato fornecesse uma copia da sua ficha criminal, 
a qual ele teria de obter na policia estadual. A pilha de documentos do emprego incluia um formuldrio 
para solicitar esse documento, e o formuldario tinha um quadradinho para uma impressao digital. 
Embora eles estivessem pedindo uma digital apenas do indicador direito, se eles a comparassem com 
uma do banco de dados do FBI, ele provavelmente em breve estaria trabalhando na cozinha de um 
resort financiado pelo governo federal. 


Ocorreu a Frank que talvez, apenas talvez, ele ainda pudesse contornar esse problema. Talvez o 
estado nao enviasse aquelas amostras de digitais para o FBI. Como descobriria isso? 


Como? Ele era um engenheiro social — como vocé acha que ele descobriu? Ele fez uma li- 
gacao telefOnica para a policia estadual: "Ola. Estamos fazendo um estudo para o Departamento 
de Justica do Estado. Estamos pesquisando os requisitos para implementar um novo sistema de 
identificagaéo de digitais. Posso falar com alguém que conhega aquilo que estamos fazendo e que 
possa nos ajudar?" 


Quando o especialista local veio ao telefone, Frank fez uma série de perguntas sobre quais siste- 
mas eles usavam e as capacidades de pesquisa e armazenamento de dados das digitais. Eles haviam 
tido algum problema com o equipamento? Eles estavam ligados 4a Pesquisa de Digitais do Centro 
Nacional de Informagées sobre o Crime (NCIC) ou a jurisdi¢ao era apenas dentro do estado? O equi- 
pamento era facil e todos poderiam aprender a usar? 


Astuciosamente, ele incluiu a pergunta-chave entre as outras. 


A resposta soou como musica para seus ouvidos: nao, eles nao estavam ligados ao NCIC, eles 
verificavam apenas no indice de Informagées Criminais (CII). 
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Recado do 


Mitnick. 


Os trapaceiros de informacgoes experientes nao tém escrupulos em ligar para os gover- 
nos federal, estadual ou municipal para saber os procedimentos da aplicacao das leis. 
Com tais informagoes em maos, o engenheiro social pode contornar as verificacoes de 
seguranca padrao da sua empresa. 


Isso era tudo que Frank precisava saber Ele nao linha nenhum registro naquele estado, de modo 
que enviou o pedido de emprego, foi contratado e ninguém jamais apareceu na sua mesa um dia com 
esta conversa "Estes senhores sao do FBI e gostariam de conversar com vocé". 


DEIXE NA PORTA 


Apesar do mito do escrit6rio sem papelada, as empresas continuam imprimindo uma quantidade 
imensa de papel todos os dias. As informagdes impressas da sua empresa podem ser vulnerdaveis, 
mesmo que vocé use as precaucdes de seguran¢ga e coloque um carimbo de confidencial 


Esta é uma historia que mostra como os engenheiros sociais podem obter os seus documentos 
mais secretos. 


A trapaca do loop-around 


Todos os anos a empresa de telefonia publica uma lista chamada Lista de Nimeros de Teste (ou pelo 
menos costumavam fazer isso, mas como eu ainda estou na condicional nao vou perguntar se ainda 
a publicam). Esse documento era muito cobicado pelos phreakers porque ele trazia uma lista de to- 
dos os numeros de telefone guardados a sete chaves e usados pelos funcionarios, técnicos e outros 
empregados da empresa de telefonia para coisas como teste de tronco ou verificagao de nimeros que 
sempre estao ocupados. 


Um desses numeros de teste, conhecido pelo jargao de loop-around, era particularmente util. Os 
phreakers 0 usavam como um modo de entrar em contato com outros phreakers para conversar sem 
pagar pela ligacao. Também costumavam usdé-lo como um modo de criar um numero de retorno para 
dar, por exemplo, a um banco. Um engenheiro social diria a alguém do banco 0 numero de telefone 
do seu escritério? E claro que nao. Quando o banco ligava de volta para o ntimero de teste (loop- 
around), o phreaker podia receber a ligagao, mas tinha a protecao de usar um numero que nao poderia 
ser rastreado e ele nao seria encontrado. 


Uma Lista de Numeros de Teste fornecia muitas informa¢gdes boas que poderiam ser usadas 
por qualquer phreaker faminto por informagdes. Assim sendo, quando as novas listas eram publi- 
cadas todos os anos, elas eram cobicgadas por muitas criangas cujo hobby era explorar a rede de 
telefonia. 


O golpe de Stevie 


E claro que as empresas de telefonia néo deixam que essas listas sejam conseguidas facilmente e os 
phreakers tém de ser criativos para conseguir uma. Como eles podem fazer isso? Uma crian¢a ansiosa 
com uma mente determinada a conseguir a lista poderia criar um cenario como este. 
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Recado do 


O treinamento de seguranca com relacao a politica da empresa criada para proteger o 
ativo de informacoes precisa ser aplicado a todos que trabalham na empresa, e nao ape- 
nas ao empregado que tem acesso eletronico ou fisico ao ativo de IT da empresa. 


Se ie a 


Em certa noite de outono no sudeste da California, Stevie liga para o escritério central pequeno 
da empresa de telefonia, estabelecido no prédio no qual as linhas telef6nicas vao para todas as resi- 
déncias e empresas da drea de servico estabelecida. 

Quando a telefonista de plantao atende, Stevie anuncia que trabalha na divisao da empresa de te- 
lefonia que publica e distribui 0 material impresso. "Temos a nossa nova Lista de Numeros de Teste", 
explica. "Mas por quest6es de seguranca nao podemos lhe entregar uma copia antes de retirarmos a 
antiga. E o cara da entrega esta atrasado. Se vocé puder deixar a sua cépia do lado de fora da porta, 
ele pode passar por af, pegar a sua c6pia, deixar a c6pia nova e continuar o seu caminho." 


O desavisado telefonista parece achar que isso é razoavel. Ele faz exatamente o que foi pedido, 
coloca na porta do prédio a sua copia da lista, a qual tem na capa um aviso em grandes letras verme 
lhas 'CONFIDENCIAL DA EMPRESA --- QUANDO NAO FOR MAIS NECESSARIO, ESTE 
DOCUMENTO DEVE SER DESTRUIDO". 


Stevie estaciona o carro e olha em volta para saber se ha policiais ou 0 pessoal da seguranga da 
empresa de telefonia espreitando atras das arvores ou observando em carros estacionados. Ninguém 
4 vista. Ele pega calmamente a cobicada lista e vai embora. 

Este é apenas mais um exemplo de como é facil para um engenheiro social conseguir 0 que quer 
seguindo o principio simples de "apenas pedir". 


ATAQUE DE GAS 


Em um cenario da engenharia social, os ativos da empresa nao sao os Unicos que correm riscos. As 
vezes, as vitimas sao os clientes de uma empresa. 

O trabalho no servi¢co ao cliente tem a sua parcela de frustragao, a sua parcela de risadas e a 
sua parcela de erros inocentes — sendo que alguns deles podem ter conseqiiéncias infelizes para os 
clientes de uma empresa. 


A historia de Janie Acton 


Janie Acton era atendente do servico ao cliente da Hometown Electric Power, em Washington, D.C., 
ha pouco mais de trés anos. Ela era considerada como uma das melhores atendentes, inteligente e 
conscienciosa. 


= SS i Ss 


Era a semana de Acao de Gragas quando esta ligacgao foi recebida. O interlocutor disse: "Aqui 
é Eduardo do Departamento de Faturamento. Tenho uma senhora na linha, ela é uma secretaria do 
escrit6rio executivo e trabalha para um dos vice-presidentes, Ela esta pedindo algumas informag6es e 
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nao posso usar 0 meu computador. Recebi um e-mail de uma garota de Recursos Humanos que dizia 
"ILOVEYOU" e quando abri 0 anexo, nao consegui mais usar a minha maquina. Um virus. Fui pego 
por um virus estipido. De qualquer forma, vocé poderia procurar algumas informagoes de cliente 
para mim?" 

"E claro", Janie respondeu. "Ele destruiu o seu computador? Isso é terrivel." 

'Sim." 

‘Como posso ajudar?", Janie perguntou. 

Nesse ponto o atacante recorreu as informagdes da sua pesquisa avancada para parecer mais 
auténtico. Ele descobriu que as informagOes que queria estavam armazenadas em algo chamado Sis- 
tema de Informagdes de Faturamento do Cliente e descobriu como os empregados se referiam ao 
sistema. Ele perguntou: "Vocé pode abrir uma conta do CBIS?" 

"Sim, qual é o nimero da conta?" 

"Nao tenho o nimero, preciso que vocé a abra pelo nome." 

"Muito bem, qual é 0 nome?" 

"O nome é Heather Marning". Ele soletrou o nome e Janie o digitou. 

"Aqui esta." 

"Otimo, a conta est4 atualizada?" 

"Hum, hum, esta sim." 

"Qual é o numero da conta?", ele perguntou. 

"Vocé tem um lapis?" 

"Pronto para anotar." 

"Numero de conta BAZ6573NR27Q." 

Ele releu 0 nimero e, em seguida, acrescentou: "E qual é 0 endereco de servico?" 

Ela Ihe deu 0 enderego. 

"E qual e o telefone?" 

Janie gentilmente leu essa informacgao também. 


O interlocutor agradeceu, disse adeus e desligou. Janie foi para a proxima ligacgao e nunca mais 
pensou nisso. 


O projeto de pesquisa de Art Sealy 


Art Sealy desistiu de trabalhar como editor free lance para pequenas editoras quando descobriu que 
poderia ganhar mais dinheiro realizando pesquisa para autores e empresas. Ele descobriu que a taxa 
que poderia cobrar aumentava na proporcao em que a tarefa o levava mais perto da linha as vezes 
indistinta entre o que é legal e o que é ilegal. Sem nunca perceber e certamente sem nunca lhe dar este 
nome, Art tornou-se um engenheiro social e usava as técnicas que sao conhecidas de todo corretor de 
informagoes. Ele descobriu que tinha um talento nato para isso e aprendeu sozinho as técnicas que 
a maioria dos engenheiros sociais tinha de aprender com os outros. Apés algum tempo, ele cruzou a 
linha sem 0 minimo resquicio de culpa. 
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Um homem entrou em contato comigo. Ele estava escrevendo um livro sobre 0 Gabinete do go- 
verno Nixon e procurava um pesquisador que pudesse investigar William E. Simon, que havia sido o 
secretario do Tesouro de Nixon. O Sr. Simon havia morrido, mas o autor tinha o nome de uma mulher 
que havia pertencido a4 sua equipe. Ele estava certo de que ela ainda morava em D.C, mas nao conse- 
guira encontrar o seu endere¢o. Ela nao tinha um telefone em seu nome, ou pelo menos seu nome nao 
estava na lista. Assim sendo, eles me ligaram. Eu disse a ele que nao teria problema. 


Esse é 0 tipo de trabalho que geralmente vocé realiza em uma ou duas ligag6es telefOnicas, se 
souber 0 que esta fazendo. Toda empresa telef6nica local pode dar as informagdes. Obviamente, vocé 
tem de mentir um pouco. Mas uma mentirinha de vez em quando nao faz mal a ninguém, certo? 


Gosto de usar uma abordagem diferente de cada vez. s6 para que as coisas fiquem interessantes. 
"Este é fulano do escrit6rio executivo" sempre funcionou para mim. Assim como "tenho alguém na 
linha do escritério do vice-presidente Fulano", que também funcionou desta vez. 


Recado do 
| Mitnick | 


Nunca ache que os ataques da engenharia social precisem ter mentiras elaboradas tao 
complexas que provavelmente serao reconhecidas antes de serem concluidas. Alguns 
sao ataques diretos, rapidos e muito simples, os quais nada mais sao do que... bem. 
simplesmente pedir as informacoes. 


Vocé tem de desenvolver o instinto do engenheiro social, precisa ter uma idéia da disposi¢ao da 
pessoa que esta do outro lado em cooperar com vocé. Desta vez tive a sorte de encontrar uma senhora 
amistosa e util Em uma Unica ligac¢4o telef6nica consegui 0 endereco e o numero de telefone. Missao 
cumprida. 


Analisando a trapaca 


Certamente Janie sabia que as informacoes de clientes sao sigilosas. Ela nunca discutiria a conta de 
um cliente com outro cliente, nem daria informacoes particulares para o publico. 


Mas é claro que para um interlocutor de dentro da empresa as regras sao diferentes. Para um cole- 
ga de trabalho tudo se reduz a fazer parte da equipe e ajudar um ao outro a fazer o trabalho. O homem 
do Departamento de Faturamento poderia ter ele mesmo procurado os detalhes se o seu computador 
nao tivesse sofrido um ataque de virus, e ela ficou contente em poder ajudar um colega. 


O atacante chegou aos poucos as informag6es principais que desejava fazendo perguntas sobre 
coisas que nao queria saber, tais como o numero da conta. Mesmo assim, 0 numero de conta forneceu 
uma seguran¢a a mais. Se 0 atendente suspeitasse, ele ligaria uma segunda vez e teria mais chances 
de sucesso, porque o conhecimento do nimero de conta faria com que ele parecesse mais auténtico 
para o atendente que ele ligasse. 


Nunca ocorreu a Janie que alguém pudesse mentir sobre algo assim, que o interlocutor pudesse 
nao estar no Departamento de Faturamento, E claro que a culpa nao é de Janie. Ela nado dominava bem 
a regra sobre ter certeza de que vocé sabe com quem esta falando antes de discutir as informagées 
do arquivo de um cliente. Ninguém jamais disse a ela sobre o perigo de uma ligacao telef6nica como 
essa que ela recebeu, Isso nao estava na politica da empresa, nao fazia parte do seu treinamento e o 
seu supervisor nunca mencionou algo semelhante. 
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EVITANDO A TRAPACA 


Um ponto a ser incluido no seu treinamento de seguranga: s6 porque um interlocutor ou visitante 
conhece os nomes de algumas pessoas da empresa ou conhece alguns jargdes ou procedimentos 
corporativos, isso nao quer dizer que ele é quem alega ser E isso definitivamente nao o estabelece 
como alguém que esta autorizado a receber informa¢oes internas, nem acessar 0 seu sistema ou rede 
de computadores. 


O treinamento em seguranga precisa enfatizar que quando estiver em dtivida, vocé precisa veri- 
ficar, verificar e verificar, 


Nos tempos antigos, 0 acesso as informacoes dentro de uma empresa era uma marca de prestigio 
e privilégio. Os empregados abasteciam os fornos, faziam as maquinas funcionar, datilografavam as 
cartas e preenchiam relat6rios. O encarregado ou chefe lhes dizia o que fazer, quando e como. Era o 
encarregado ou chefe que sabia quantos parafusos cada empregado deveria produzir em cada turno, 
o numero, as cores e os tamanhos que a fabrica precisava produzir nesta semana, na prdéxima e no 
final do més. 


Os empregados lidavam com as maquinas, ferramentas e materiais e os chefes lidavam com 
as informagdes. Os empregados s6 precisavam saber das informag6es que eram especificas de suas 
fungoes. 

O quadro hoje é um pouco diferente, nado é? Muitos trabalhadores em fabricas usam computa- 
dores ou maquinas computadorizadas. Para uma grande parte da forga de trabalho, as informagodes 
criticas sao colocadas nos desktops dos usuarios para que eles possam cumprir a sua responsabilidade 
e fazer seu trabalho. No ambiente de hoje, quase tudo 0 que os empregados fazem envolve o trata- 
mento das informac6es. 


Por esse motivo a politica de segurangca de uma empresa precisa ser estendida a toda a empresa, 
independentemente da posicao. Todos devem entender que nao sao apenas os executivos e os chefes 
que tem as informacg6es que um atacante pode estar procurando. Hoje em dia, os empregados de to- 
dos os niveis, até mesmo aqueles que nado usam um computador, podem ser os alvos. O representante 
recém-contratado do grupo de servico ao cliente pode ser o elo mais fraco que um engenheiro social 
quebra para atingir o seu objetivo. 


O treinamento em seguranga e as politicas corporativas de seguranga precisam fortalecer esse elo. 


Criando a Confiancga 


Igumas dessas hist6rias podem leva-lo a imaginar que acredito que todas as pessoas que 

estéo nos negécios sAo completas idiotas, prontas e até mesmo ansiosas para revelar cada 

um dos segredos que possuem. O engenheiro social sabe que isso nao é verdade. Por que os 
ataques da engenharia social sao tao bem-sucedidos? isso nao acontece porque as pessoas sao estu- 
pidas ou nao tém bom senso, Mas nos. como seres humanos, somos todos sujeitos a ser enganados, 
porque a confianga das pessoas pode ser usada de forma errada se for manipulada de determinadas 
maneiras. 


O engenheiro social prevé a suspeita e a resisténcia, e ele esta sempre preparado para transfor- 
mar a desconfianc¢a em confiang¢a. Um bom engenheiro social planeja 0 seu ataque como um jogo 
de xadrez, e prevé as perguntas que o seu alvo pode fazer para estar pronto para dar as respostas 
corretas. 


Uma dessas técnicas comuns envolve a criacgao de uma sensacado de confianga por parte da sua 
vitima. Como um trapaceiro pode fazer com que vocé confie nele? Confie em mim, ele pode. 


CONFIANCA: O SEGREDO DA FRAUDE 


Quanto mais os engenheiros sociais puderem dar a aparéncia de neg6écios normais ao seu contato, 
menos eles levantam suspeitas. Quando as pessoas nao tém um motivo para suspeitar, um engenheiro 
social pode ganhar 3 sua confianca mais facilmente. 


Apos conseguir a sua confianga, a ponte levadica e abaixada e o portao do castelo se abre para 
que ele entre e obtenha as informacoes desejadas. 


Vocé ja deve ter notado que me refiro aos engenheiros sociais, phreakers e operadores 
do jogo da trapaca como "ele" na maioria das historias. Isso nao é chauvinismo, mas 
apenas reflete a realidade de que a maioria dos praticantes dessa area é masculina, 
Mas embora nao existam muitas engenheiras sociais, esse numero esta crescendo. 
Ha engenheiras sociais suficientes para que vocé nao baixe a guarda so porque esta 
ouvindo uma voz feminina. Na verdade, as engenheiras sociais tem uma vantagem dis- 
tinta porque podem usar a sua sensualidade para obter a cooperacao. Vocé encontrara 
alguns poucos exemplos do chamado sexo fragil representado nestas paginas. 
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primeira ligagao: Andrea Lopez 


Andrea Lopez atendeu ao telefone na locadora de video na qual trabalhava, e em 
instantes estava sorrindo: "E sempre um prazer quando um cliente se da ao trabalho 
de dizer que esta satisfeito com o nosso servico." Esse interlocutor disse que teve uma 
experiéncia muito boa ao ser atendido pela loja e queria enviar uma carta para o gerente 
dizendo isso. 


Ele pediu o nome e enderego de correspondéncia do gerente, e ela disse que seu nome era 
Tommy Allison e deu o enderecgo. Quando ela estava para desligar, ele teve outra idéia e 
pediu: "Eu poderia escrever para a sede da sua empresa também. Qual € o numero da sua 
loja?" Ela forneceu essas informagoes também. Ele agradeceu, acrescentou algo agradavel 
sobre como ela ajudou e disse adeus. 


Ela pensou: "Uma ligagao assim sempre parece melhorar o nosso dia de trabalho. Que 
bom se as pessoas fizessem isso com mais frequéncia." 


segunda ligagao: Ginny 


"Obrigada por ligar para a Studio Video. Meu nome é Ginny, posso ajudar?" 


"Oi, Ginny", disse o interlocutor com voz entusiasmada, como se ele falasse com Ginny 
todas as semanas. "Aqui € Tommy Allison, gerente da Loja 863, Forest Park. Temos 
um cliente aqui que quer alugar Rocky 5 e estamos sem nenhuma copia. Vocé pode 
verificar se vocés tem uma?" 


Apos alguns momentos ela voltou ao telefone e confirmou: "Sim, temos trés cdpias." 


"Muito bem. Vou ver se ele quer passar ai. Olha, obrigado. Se precisar de alguma ajuda 
da nossa loja. é so ligar e pedir para falar com Tommy. Vou ficar feliz em ajudar 
como puder." 


Trés ou quatro vezes nas proximas semanas Ginny recebeu ligagdes de Tommy pedindo 
ajuda com uma ou outra coisa. As solicitagd6es aparentemente eram legitimas e ele sem- 
pre era tao amistoso, sem parecer que estava tentando se aproveitar disso. Ele comecgou 
a bater papo também — "Vocé ouviu falar do grande incéndio em Oak Park? Varias ruas 
foram fechadas" e outras coisas do género. As ligagdes quebravam um pouco a rotina do 
dia e Ginny sempre gostava de ouvi-lo. 


Certo dia Tommy ligou e parecia meio estressado. Ele perguntou: Vocés estao tendo pro- 
blemas com seus computadores?" 


"Nao". Ginny respondeu. "Por qué?" 


"Alguém bateu o carro contra um telefone publico e o pessoal da empresa de telefonia 
disse que grande parte da cidade vai perder seus telefones e conexao com a Internet 
ate eles resolverem o problema." 


"Ah, nao. O homem se machucou?" 


"Eles o levaram em uma ambulancia. De qualquer maneira, vocé poderia me ajudar? 
Tenho um cliente seu aqui que queria alugar O poderoso chefao I// e esta sem o 
cartao. Vocé poderia verificar essas informagdes para mim?" 


"Sim, é claro." 


Tommy deu 0 nome e endereco do cliente e Ginny 0 encontrou no computador, Ela deu 
a Tommy o numero da conta. 


Capitulo 4 Criando a Confianca 35 


"Ele tem alguma devolugao a fazer ou saldo devedor?", Tommy perguntou. 


"Nao consta nada." 


"Multo bem, otimo. Vou abrir uma conta para ele aqui a mao e o coloco no nosso banco 
de dados mais tarde quando os computadores voltarem a funcionar. Ele quer pagar 
com o cartao Visa que ele usa na sua loja e também esta sem ele. Qual € 0 numero 
do seu cartao e a data de vencimento?" 


Ela também forneceu essas informacgoes. Tommy agradeceu: "Olha, obrigado pela ajuda. 
Falo com vocé depois", e desligou. 


A historia de Doyle Lonnegan 


Lonnegan nao é um jovem que vocé gostaria de encontrar ao abrir a sua porta. Ele € um cobrador 
de dividas em atraso e ainda presta favores eventuais, se isso nao o atrapalhar muito. Neste caso, ele 
recebeu uma quantia razoavel em dinheiro para apenas fazer algumas ligacg6es telefOnicas para uma 
locadora de video. Isso parece facil. So que nenhum de seus "clientes" sabia como executar esse 
golpe; eles precisavam de alguém com o talento e know-how de Lonnegan. 


As pessoas nao preenchem cheques para pagar suas apostas quando nao tém sorte ou fazem algu- 
ma besteira na mesa de pdquer Todos sabem disso. Por que esses meus amigos continuam apostando 
em algo que nao pode dar certo? Nao me pergunte. Talvez eles estejam um pouco em desvantagem no 
departamento de QI. Mas eles s4o meus amigos, 0 que se pode fazer? 


Esse homem nao tinha o dinheiro e eles aceitaram um cheque. Pergunto: eles nao deveriam té-lo 
levado a um caixa eletr6nico? E isso o que eles deveriam ter feito. Mas nao, eles aceitaram um che- 
que de US$ 3.230,00. Naturalmente o cheque voltou. O que vocé esperaria? Ai eles me ligam, posso 
ajudar? Nao fecho mais as portas quando as pessoas batem. Além disso, hoje em dia ha maneiras 
melhores de fazer isso. Contei-lhes que queria comissao de 30%, e veria o que podia fazer. Assim 
sendo, eles me deram seu nome e enderecgo e procurei no computador qual era a locadora de video 
mais proxima dele. 


Nao estava com muito pressa. Quatro ligacdes telef6nicas para nos deixar mais préximos do 
gerente da loja e bingo, eu havia conseguido o numero do cartao Visa do homem. Outro amigo meu 
tem um bar de topless. Por cinqgiienta pratas ele colocou o dinheiro do pdéquer dessa pessoa como uma 
conta no cartao Visa feita no bar. Vamos ver como 0 escroque vai explicar isso para a sua mulher. Vocé 
acha que tentaria dizer a administradora do Visa que a conta nao é sua? Pense de novo. Ele sabe que 
sabemos quem ele é. E se conseguimos o seu numero do cartao Visa, ele vai imaginar que podemos 
descobrir muito mais. Caso encerrado. 


Analisando a trapaca 


As ligagées iniciais de Tommy para Ginny visavam apenas criar confianga. Quando chegou a hora 
do ataque real, ela baixou a guarda e aceitou que Tommy era quem alegava ser, 0 gerente de outra 
loja do grupo. 

E por que ndo o aceitaria'? Ela jé 0 conhecia. Ela s6 0 conhecia por telefone, mas eles haviam 
estabelecido uma amizade comercial que é a base da confianga. Depois de aceita-lo como autorida- 
de, como um gerente da mesma empresa, a confianga havia sido estabelecida e o resto era facil. 
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Recado do 


Essa tecnica para criar a confianca é uma das mais eficientes da engenharia social. Vocé 
tem de pensar se realmente conhece a pessoa com quem esta falando. Em alguns raros 
casos, a pessoa talvez nao possa ser quem alega ser. Da mesma forma, todos temos de 
aprender a observar, pensar e questionar a autoridade. 


VARIACGAO SOBRE UM MESMO TEMA: 
A CAPTURA DO CARTAO 


A criagao de uma sensacao de confian¢a nao exige necessariamente uma série de ligagées telef6nicas 
com a vitima, como sugere a histéria anterior. Lembro-me de um incidente que presenciei no qual 
foram necessarios apenas cinco minutos. 


Surpresa, papai! 


Certa vez eu estava em um restaurante com Henry e seu pai. Durante a conversa, Henry repreendeu 
o pai por dar o ntimero do seu cart&o de crédito como quem dé o nimero do telefone. "E claro que 
vocé tem de dar o numero do seu cartao quando compra alguma coisa", ele dizia. "Mas da-lo em 
uma loja que arquiva 0 seu numero em seus registros — isso é burrice." 


"O unico lugar em que faco isso é na Studio Video", disse o Sr Conklin, referindo-se 4 mesma 
cadeia de locadoras de video. "Mas verifico a minha fatura todos os meses. Eu percebo se eles come- 
carem a aumentar a conta." 


"E claro", salientou Henry, "mas depois que eles tém o seu nimero, qualquer pessoa pode 
rouba-lo". 


"Vocé se refere a um funcionario desonesto?" 
"Nao, qualquer pessoa e nao apenas um funcionario." 
"Vocé esta dizendo bobagens", retrucou o Sr. Conklin. 


"Posso ligar agora mesmo e fazer com que eles me déem o nimero do seu cartao Visa", respon- 
deu Henry. 


"Nao, vocé ndo pode", afirmou 0 pai. 
"Posso fazer isso em cinco minutos, bem na sua frente sem nem ter de sair da mesa." 


O Sr. Conklin olhou firme, o olhar de alguém que se sentia seguro, mas que nao queria mostrar 
isso. "Digo que vocé nao sabe do que esta falando", desafiou, tirando do bolso a carteira e jogando 
uma nota de 50 dolares na mesa. "Se fizer o que esta dizendo, o dinheiro é seu." 


"Nao quero o seu dinheiro pai", disse Henry. 


Ele pegou o telefone celular, perguntou ao pai qual era a loja e ligou para o Auxilio a Lista pe- 
dindo o numero do telefone e também o numero da loja na regiao de Sherman Oaks. 


Em seguida, ligou para a loja de Sherman Oaks. Usando mais ou menos a mesma abordagem 
descrita na historia anterior, ele rapidamente conseguiu 0 nome do gerente e 0 nimero da loja. 


Ligou para a loja na qual o seu pai tinha a conta. Ele usou o velho truque de se fazer passar pelo 
gerente, deu o nome do gerente como o seu proprio e o numero da loja que havia obtido. Tomou a 
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usar 0 mesmo truque: "Os seus computadores estao funcionando hoje? Os nossos as vezes funcio- 
nam, as vezes nao." Ouviu a resposta e continuou: "Bem, tenho um dos seus clientes aqui comigo e 
ele quer alugar um video, mas os nossos computadores estao fora do ar agora. Preciso ver a conta do 
cliente e ter certeza de que ele é um cliente da sua loja." 


Henry deu o nome do seu pai. Em seguida, usando apenas uma pequena variacao da técnica, 
pediu para ela ler as informagoes da conta: endere¢o, nimero de telefone e a data em que a conta foi 
aberta. Depois disse: "Ouga, estou com uma fila enorme de clientes aqui. Qual é o nimero do cartao 
de crédito e a data de vencimento?" 


Henry segurou o celular no ouvido com uma m4o e com a outra escreveu em um guardanapo de 
papel. Ao terminar a ligacao, ele colocou o guardanapo na frente do pai, que ficou olhando para o 
numero de boca aberta. O pobre senhor parecia totalmente chocado, como se todo o seu sistema de 
confianca tivesse ido por 4gua abaixo. 


Analisando a trapaca 


Pense na sua propria atitude quando alguém que vocé nao conhece pede alguma coisa. Se um 
pobre bate a sua porta, vocé provavelmente nao o deixa entrar; se um estranho bem vestido 
bater a porta, de sapatos brilhantes, cabelo bem penteado, bons modos e um sorriso, vocé pro- 
vavelmente tera menos suspeitas. Talvez ele seja o Jason do filme Sexta-Feira 13, mas vocé esta 
disposto a confiar naquela pessoa, desde que ela tenha uma aparéncia normal e nao tenha uma 
faca na mao. 


A questo menos 6bvia é que julgamos as pessoas da mesma forma pelo telefone. Essa pessoa 
da a impressao de estar tentando me vender alguma coisa? Ele é amistoso e aberto ou sinto algum 
tipo de hostilidade ou pressao? Ele tem o discurso adequado para uma pessoa educada? Julgamos 
essas coisas e talvez mais uma dezena de outras inconscientemente em um relance, quase sempre nos 
primeiros momentos da conversa¢ao. 


E da natureza humana achar que é improvavel que vocé seja enganado em determi- 
nada transacao, pelo menos até que tenha algum motivo para acreditar no contrario, 
Nos ponderamos o risco e, em seguida, na maior parte das vezes, damos as pessoas 
o beneficio da duvida. Esse € o comportamento natural das pessoas civilizadas... pelo 
menos as pessoas civilizadas que nunca foram enganadas, manipuladas ou trapa- 
ceadas em uma soma grande em dinheiro. Quando éramos criangas, nossos pais nos 
ensinavam a nao confiar em estranhos. Talvez todos devéssemos adotar esse antigo 
principio no ambiente de trabalho de hoje. 


No trabalho, as pessoas nos solicitam coisas 0 tempo todo. Vocé tem o endereco de e-mail 
desta pessoa? Onde esta a ultima versao da lista de clientes? Quem é o subcontratado desta parte 
do projeto? Por favor, me envie a atualizagao mais recente do projeto. Preciso da versao nova do 
cédigo-fonte. 

E adivinhe o que acontece? As vezes as pessoas que fazem essas solicitagdes sao aqueles que 
vocé nao conhece pessoalmente, gente que trabalha em outra parte da empresa ou que alega trabalhar. 
Mas se as informagdes que dao coincidem e parecem ter o conhecimento ("Marianne disse...", "Isso 
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esta no servidor K-16...."; ""...a revisdo 26 dos planos do novo produto"), estendemos o nosso circulo 
de confian¢a para inclui-los e alegremente fornecemos aquilo que estao pedindo. 

Certamente devemos parar um pouco e nos perguntar. "Por que alguém na fabrica de Dallas pre- 
cisa ver os planos do produto novo?" ou "Sera que vocé podia me dar 0 nome do servidor no qual ele 
esta?". Assim, fazemos outras perguntas. Se as respostas parecem razoaveis e a maneira como a pessoa 
responde é segura, baixamos a guarda, voltamos a nossa inclinacao natural de confiar no nosso colega 
e fazemos (com toda a razao) tudo que ele quer que fagamos. 


E nao pense nem por um momento que o atacante s6 visa as pessoas que usam os sistemas de 
computadores da empresa, Que tal o cara da sala de correspondéncia? "Vocé me faz um favor? 
Coloque isto no malote interno?". O funcionario da sala de correspondéncia sabe que o envelope 
contém um disquete com um programa especial para a secretaria do CEO? Agora aquele atacante 
tem a sua propria cépia pessoal do e-mail do CEO. Ufa! Isso pode acontecer na sua empresa? E claro 
que pode. 


O TELEFONE CELULAR DE UM CENTAVO 


Muitas pessoas procuram até achar um bom negocio. Os engenheiros sociais nao procuram um bom 
negocio, eles encontram um modo de transformar algo em um bom negocio. Por exemplo, as vezes 
uma empresa lanca uma campanha de marketing que é tao boa que vocé nao consegue deixar de 
aproveita-la, enquanto o engenheiro social olha a oferta e pensa em como ele pode melhora-la. 


1 14 pouco tempo, uma empresa nacional de telefonia sem fio fez uma grande promogao oferecen- 
do um telefone novo por um centavo quando vocé se inscrevia em um dos seus planos de chamada. 


Como muitas pessoas acabaram descobrindo tarde demais, existem boas perguntas que um com- 
prador prudente deve fazer antes de se inscrever em um plano de chamadas de telefone celular — se 
o servico é analdégico, digital ou uma combinagao entre eles; 0 numero de minutos que podem ser 
usados no més; se as taxas de roaming estao incluidas... e assim por diante. E importante entender 
desde o inicio qual é 0 prazo de comprometimento do contrato — por quantos meses ou anos vocé 
ficara comprometido? 


Pense em um engenheiro social da Filadélfia que é atraido por um modelo de telefone barato 
oferecido por uma empresa de telefonia celular mediante uma inscrigao, mas ele odeia o plano de 
chamada que acompanha o aparelho. Tudo bem. Aqui esta como ele trataria dessa situa¢ao. 


A primeira ligacao: Ted 


Em primeiro lugar, o engenheiro social liga para uma cadeia de produtos eletr6nicos em 
West Girard. 


"Electron City, Ted." 


"Oi. Ted. Aqui € Adam. Ouga. ha algumas noites eu estava conversando com um 
vendedor sobre um telefone celular. Eu disse que ligaria de volta quando tivesse 
resolvido qual plano queria e esqueci o nome dele. Quem é a pessoa que trabalha 
no departamento no turno da noite? 


"Ha mais de um. Sera que era o William?" 
"Eu nao tenho certeza. Talvez fosse o William. Como ele 6?" 
"Um homem alto e meio magro." 
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"Eu acho que era ele. Qual € mesmo o sobrenome dele? 

"Hadley. H—A—D — L—E —Y." 

"Isso, acho que é€ isso. Quando ele volta?" 

"Nao sei a sua escala para esta semana, mas o pessoal da noite chega em cinco 
minutos." 

"Bom. Vou tentar falar com ele esta noite. Obrigado. Ted". 


A segunda ligacao: Katie 
A proxima ligagao é feita para uma loja da mesma cadeia na North Broad Street. 


"Electron City. Aqui 6 Katie, posso ajudar?" 
"Katie, ola. Aqui é William Hadley da loja da West Girard. Com vao as coisas?" 
"Um pouco devagar, e ai?" 


"Tenho um cliente que esta interessado naquele programa do telefone celular por um 
centavo. Vocé sabe do que se trata?" 


"Certo. Vendi alguns deles na ultima semana." 
"Vocé ainda tem alguns dos telefones que acompanham aquele plano?" 
"Tenho um monte deles." 


"Otimo, porque acabei de vender um para um cliente. O crédito desse cliente foi aprovado 
e ele assinou o contrato. Verifiquei o estoque e nao temos nenhum telefone. Estou 
em uma situagao complicada. Vocé pode me fazer um favor? Vou pedir para ele 
passar na sua loja e pegar um telefone. Vocé pode vender para ele o telefone de um 
centavo e dar-lhe um recibo? Ele deve me ligar de volta assim que pegar o telefone 
para eu ensinar como programar o aparelho." 


"Sim, € claro. Mande ele aqui." 
"OK. O nome dele é Ted. Ted Yancy." 


Quando o homem que diz ser Ted Yancy aparece na loja da North Broad St., Katie faz uma 
fatura e vende para ele um telefone celular por um centavo, assim como o seu "colega" 
falou para ela fazer. Ela caiu feito um patinho. 

Na hora de pagar, o cliente nao tem moedas no bolso. Assim sendo, ele vai até o pratinho 
com moedas pequenas no balcao do caixa, pega uma e paga a garota da caixa registrado- 
ra. Ele recebe o telefone sem ter pago nem um centavo por ele. 

Ele esta livre para ir até outra empresa de telefonia celular que usa o mesmo modelo de 
telefone e escolher qualquer plano de servigos que quiser. De preferéncia um plano men- 
sal, sem nenhum comprometimento. 


Analisando a trapaca 


E natural que as pessoas tenham um grau alto de aceitagdo para com alguém que diz ser um colega do 
trabalho, e que conhega os procedimentos e a linguagem da empresa. O engenheiro social desta his- 
toria aproveitou-se disso descobrindo os detalhes de uma promogao, identificando a si mesmo como 
empregado da empresa e pedindo um favor para outra filial. Isso acontece entre as filiais das lojas 
de varejo e entre os departamentos de uma empresa na qual as pessoas estao separadas fisicamente e 
lidam quase todos os dias com colegas de trabalho que nem conhecem. 
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UM GOLPE DE HACKER NOS FEDERAIS 


Com freqiiéncia, as pessoas nao param para pensar no material que a sua organizacao esta disponi- 
bilizando pela Web. Para o meu programa semanal na Radio KF1 Talk, de Los Angeles, 0 produtor 
fez uma pesquisa on-line e descobriu uma copia de um manual de instru¢6es para acessar 0 banco 
de dados do Centro Nacional de Informagdes sobre 0 Crime. Mais tarde ele encontrou o prdéprio 
manual do NCIC on-line, um documento confidencial que da todas as instru¢6es para recuperar in- 
formacg6es do banco de dados nacional de crimes do FBI. 


O manual é um volume para os departamentos de policia, 0 qual fornece a formatacao e os cé- 
digos para recuperar as informagées sobre os criminosos do banco de dados nacional. As agéncias 
de todo o pais podem pesquisar 0 mesmo banco de dados para obter as informagdes que ajudam a 
solucionar os crimes de suas proéprias jurisdigdes. O manual contém os cédigos usados no banco de 
dados para designar tudo, desde os diferentes tipos de tatuagens, os diferentes cascos de barcos até as 
denominacoes de dinheiro e titulos roubados. 


Todos que tenham acesso ao manual podem procurar a sintaxe e os comandos necessarios para 
extrair as informacoes do banco de dados nacional. Em seguida, seguindo as instrugdes do guia de 
procedimentos e com um pouco de sangue frio, todos podem extrair as informag6es do banco de da- 
dos. O manual também fornece os numeros de telefone do suporte para obter as informag6es sobre 
como usar 0 sistema, Na sua empresa, vocé pode ter manuais semelhantes que oferecem cdédigos de 
produtos ou cédigos para recuperar informag6es confidenciais. 


O FBI com quase toda a certeza nunca descobriu que 0 seu manual e as instrugdes de procedi- 
mentos confidenciais estavam disponiveis para todas as pessoas on-line, e nao acho que eles ficariam 
muito felizes se descobrissem. Uma cépia foi publicada por um departamento do governo no Oregon, 
a outra por um departamento de policia no Texas. Por qué? Em cada um dos casos provavelmente al- 
guém achou que as informacoes nao tinham valor e que a sua publicagao nao causaria nenhum dano. 
Talvez alguém tenha publicado essas informagdes em sua intranet como uma conveniéncia para seus 
proprios empregados, e nunca tenha percebido que as informagoes estariam disponiveis para todos 
que estivessem na Internet com acesso a um bom mecanismo de pesquisa, tal como 0 Google — in- 
cluindo os simples curiosos, 0 pretendente a detetive, o hacker e 0 chefio do crime organizado. 


Bisbilhotando o sistema 


O principio de usar tais informa¢g6es para enganar alguém do governo ou de uma empresa privada 
é 0 mesmo. Como um engenheiro social sabe como acessar bancos de dados ou aplicativos especifi- 
cos ou conhece os nomes dos servidores de computador de uma empresa ou coisa semelhante, ele tem 
credibilidade. E a credibilidade leva a4 confian¢a, 


Depois que um engenheiro social tem tais cédigos, a obtencao das informagées de que precisa 
é um processo facil. Neste exemplo, ele pode comegar a ligar para um funciondrio do escritério de 
teletipo da policia estadual local e fazer perguntas sobre um dos cddigos do manual — por exemplo, 
o cdédigo de agressao. Ele pode dizer algo como "Quando faco uma consulta OFF no NCIC, recebo 
um erro 'System is down' (Transa¢ao fora do ar). Vocé tem esse problema quando faz um OFF? Vocé 
poderia tentar para mim?". Ou quem sabe ele diria que estava tentando procurar um wpf— 0 jargao 
policial para 0 arquivo de uma pessoa procurada. 


O funcionario do teletipo do outro lado do telefone entenderia a pista de que o interlocutor estava 
familiarizado com os procedimentos operacionais e os comandos para consultar o banco de dados do 
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NCIC. Quem mais além de alguém treinado no uso do NCIC conheceria esses procedimentos? 


Apos o funcionario confirmar que o sistema estava funcionando, a conversacao poderia ter pros- 
seguido mais ou menos assim: 


"Vocé pode me ayudar?" 


"O que vocé esta procurando?" 
"Preciso que vocé dé um comando OFF sobre Reardon, Martin. DOB 18/10/66." 


"Qual €é 0 sosh?" (As pessoas do departamento de policia as vezes se referem ao nimero do se- 
guro social como sosh). 


"700- 14-7435." 
Apéos procurar na listagem, ela voltaria com algo do tipo "Ele tem um 2602". 


O atacante s6 teria de olhar no NCIC on-line para descobrir o significado do nimero. O homem 
tem um caso de roubo em sua ficha. 


Analisando a trapaca 


Um engenheiro social experiente nao pararia um minuto para pensar nas maneiras de invadir 0 ban- 
co de dados do NCIC. Por que ele faria isso, quando com uma simples ligagao para o departamento 
local de policia e um pouco de conversa para mostrar que ele esta por dentro, ele conseguiria 0 que 
quer? E da préxima vez ele apenas liga para um departamento diferente da policia e usa 0 mesmo 
pretexto. 


Recado do 


| Mitnick, 


Todos devem ter conhecimento do modus operandi do engenheiro social, Ele coleta 
Oo maximo possivel de informagoes sobre o alvo e usa essas informacoes para ga- 
nhar a confianca de alguém que trabalha dentro da empresa do alvo. Em seguida, 
ele ataca a jugular! 


Vocé deve estar se perguntando se nao é arriscado ligar para um departamento de policia, o 
escrit6rio de um delegado ou o escritério da guarda rodoviaria. O atacante nao corre um risco 
imenso? 

A resposta é nao... e por um motivo especifico. As pessoas do departamento de policia, assim como 
os militares, tém incutido nelas desde o seu primeiro dia na academia de policia 0 respeito pela hierar- 
quia, Desde que 0 engenheiro social esteja se fazendo passar por um sargento ou tenente — uma hie- 
rarquia mais alta do que aquela da pessoa com quem ele fala —, a vitima sera governada pela licao 
bem aprendida que diz que vocé nao questiona as pessoas com uma patente mais alta do que a sua. 


SOSH _ Giria da policia parao numero do seguro social. 
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A patente. em outras palavras, tem seus privilégios, particularmente o privilégio de nao ser desafiado 
pelas pessoas que estao abaixo na hierarquia. 

Mas nao pense que os policiais e os militares sfo os unicos que podem ter esse respeito pela 
hierarquia explorado pelo engenheiro social Eles quase sempre usam a autoridade ou patente da hie- 
rarquia corporativa como uma arma em seus ataques aos negdécios — como demonstram varias das 
historias deste livro. 


EVITANDO A TRAPACA 


Quais sao algumas das etapas que a sua organizacao pode tomar para reduzir a probabilidade de que 
Os engenheiros sociais aproveitem o instinto natural dos seus empregados de confiar nas pessoas? 
Estas sao algumas sugest6es. 


Proteja os seus clientes 


Nesta era eletr6nica, muitas empresas que vendem para 0 consumidor mantém um arquivo de cartdes 
de crédito. Existem motivos para isso: evitar que o cliente tenha de fornecer as informag6es do car- 
tao de crédito sempre que visitar a loja ou o site na Web ou sempre que fizer uma compra. Entretanto. 
essa pratica deve ser desencorajada. 


Sc vocé precisar manter os nimeros de cartes de crédito em um arquivo, esse processo tem de 
ser acompanhado por medidas de seguranga que vao além da criptografia ou do controle de acesso. Os 
empregados precisam ser treinados para reconhecer os golpes da engenharia social semelhantes aqueles 
mostrados neste capitulo. Aquele colega de trabalho que vocé nao conhece pessoalmente, mas que se 
tornou um amigo pelo telefone, talvez nao seja quem ele alega ser. Ele pode nao ter a "necessidade de 
saber" para acessar as informac¢ées confidenciais de cliente, porque ele pode nao trabalhar na empresa. 


Confie desconfiando 


Nao sao apenas as pessoas que tém acesso a informagées confidenciais — os engenheiros de softwa- 
re. 0 pessoal de P&D e assim por diante — que precisam se manter na defensiva contra as invasées. 
Quase todos da sua organizacao precisam de treinamento para protegerem a empresa contra Os espi- 
Oes industriais e os ladrdes de informacoes. 


A base disso deve comegar com uma pesquisa das informagdes na empresa, um exame separado 
de cada ativo confidencial, critico ou valioso e perguntas sobre quais métodos um atacante usaria para 
comprometer aqueles ativos por meio das taticas da engenharia social. O treinamento apropriado das 
pessoas que tém acesso de confian¢a a essas informacoes deve ser designado com base nas respostas 
para essas perguntas. 


Quando alguém que vocé nao conhece solicita informa¢des ou materiais ou pede para executar 
uma tarefa no seu computador, os seus empregados fazem algumas perguntas do tipo: "Se dei es- 
sas informag6es para 0 meu pior inimigo, elas poderiam ser usadas para me prejudicar ou a minha 
empresa?" "Entendo o efeito em potencial dos comandos que estao pedindo para eu inserir no meu 
computador?" 


Nao queremos passar a vida toda suspeitando de cada nova pessoa que conhecemos. Mesmo 
assim, quanto mais confiamos, maiores as chances de que o préximo engenheiro social que chegar a 
cidade possa nos influenciar para dar informa¢6es da nossa empresa. 
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O que faz parte da sua Intranet? 


Partes da sua intranet podem estar abertas para 0 mundo exterior e outras partes podem ser restritas 
aos empregados. Com que cuidado a sua empresa garante que as informacées confidenciais nao estao 
sendo publicadas em lugares onde estao acessiveis para pblicos dos quais vocé quer protegé-las? 
Quando foi a Ultima vez que alguém da sua organizacao verificou se alguma informacao confidencial 
da intranet da sua empresa nao foi acidentalmente disponibilizada por meio das areas de acesso pu- 
blico do seu site na Web? 


Se a sua empresa implementou servidores proxy como intermediarios para proteger a empresa 
contra as ameagas eletrénicas a seguranga, esses servidores foram verificados ha pouco para saber se 
estao configurados adequadamente? 


Na verdade, alguém alguma vez verificou a segurang¢a da sua intranet? 


“Posso Ajudar’?" 


amos agradecidos quando lemos um problema e alguém com conhecimento, habilidade e 
disposi¢ao nos oferece ajuda. O engenheiro social entende isso e sabe como se aproveitar da 
situa¢ao. 


Ele lambem sabe como criar um problema para vocé... para que depois vocé se sinta agradecido 
quando ele o solucionar... e finalmente joga com a sua gratidao para extrair algumas informag6es ou 
um pequeno favor que deixara a sua empresa (ou talvez vocé mesmo, como individuo) em um estado 
muito pior do que antes. E vocé talvez nunca saiba que perdeu algo de valor. 


Estas sao algumas maneiras tipicas pelas quais os engenheiros sociais aparecem para "ajudar”. 


A QUEDA DA REDE 


Dia/Hora: Segunda-feira, 12 de fevereiro, 15h25. 
Local: Escrit6rios da Estaleiros Starboard 


A primeira ligacao: Tom DeLay 


Tom DeLay, Contabilidade." 


"Ola, Tom, aqui 6 Eddie Martin do Help Desk. Estamos tentando solucionar um problema 
de rede de um computador. Vocé sabe se algueém do seu grupo vém tendo 
problemas para permanecer conectado?" 


"Hum, nao que eu saiba." 
"E vocé nao esta tendo problemas?" 
"Nao, tudo parece bem." 


"Bem, isso € bom. Ouga, estamos ligando para as pessoas que podem ser afetadas, por 
isso € Importante que vocé nos informe imediatamente se perder a sua conexao 
de rede." 


"Isso nao parece bom. Vocé acha que pode acontecer?" 

"Esperamos que nao, mas vocé liga se acontecer alguma coisa, certo?" 
"Pode acreditar que sim." 

"Ouca, parece que ficar sem a conexao de rede é€ problema para vocé..." 


"Pode apostar que seria." 
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"...entao enquanto estamos falando disso, vou dar o numero do meu telefone celular. Se 
precisar, vocé pode ligar direto para mim." 


"Isso seria Otimo." 
"O numero é€ 555-867-5309." 
"555-867-5309. Entendi, obrigado. Qual € mesmo o seu nome?" 


"E Eddie. Mais uma coisa, preciso verificar 0 numero de porta ao qual o seu computador 
esta conectado. Dé uma olhada no seu computador e veja se ha uma etiqueta em 
algum lugar dizendo algo como ‘Numero de porta’." 


"Espere um pouco... Nao. nao vejo nada parecido." 
"OK, entao na parte de tras do computador vocé consegue reconhecer o cabo de rede?" 
"Sim." 


"Veja onde ele esta ligado. Veja se ha uma etiqueta no conector ao qual ele esta 
ligado." 


"Espere um pouco. Sim, espere ai, tenho de me ajoelhar para chegar mais perto e ler, 
Muito bem, é a porta 6 trago 47." 


"Bom, € isso 0 que tinhamos, so queria ter certeza," 


A segunda ligacao: o cara de TI 


Dois dias depois, uma ligagao foi recebida no Centro de Operacgdes de Rede da mesma 
empresa. 


"Ola, aqui € Bob. Trabalho na Contabilidade do escritorio de Tom DeLay. Estamos 
tentando solucionar um problema de cabo. Preciso desativar a Porta 6-47." 


O rapaz de TI disse que isso seria feito em alguns minutos e pediu que eles avisassem 
quando poderiam ativar novamente a porta. 


A terceira ligagao: conseguindo ajuda do inimigo 


Cerca de uma hora mais tarde, o suposto Eddie Martin estava fazendo compras na Circuit 
City quando seu telefone celular tocou. Ele verificou o numero que estava ligando, viu 
que a chamada tinha sido feita do estaleiro e correu para um lugar tranquilo antes de 
atender. 


"Servico ao Cliente. Eddie." 
"Ola, Eddie. Estou ouvindo um eco, onde vocé esta?" 
‘Estou em um gabinete de cabos. Quem esta falando?" 


"Aqui € Tom DeLay. Rapaz, estou feliz em falar com vocé. Talvez se lembre de mim, vocé 
me ligou outro dia. A minha conexao de rede acabou de cair como vocé disse que 
aconteceria e estou meio em panico aqui." 


"E, temos um monte de gente assim agora. Até o final do dia tudo estara resolvido. Tudo 


bem?" 


"NAO! Droga, vou me atrasar muito se tiver de esperar tanto. Qual é o melhor prazo que 
vocé tem para mim?" 


"Qual é a sua urgéncia?" 
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"Posso fazer outras coisas agora. Ha alguma chance de vocé consertar isso em meia 
hora?" 


"MEIA HORA! Vocé nao esta querendo muito? Bem, vejamos, vou parar o que estou 
fazendo e ver se consigo resolver isso para vocé." 


"Olha, obrigado mesmo, Eddie." 


A quarta ligagao: vocé conseguiu! 
Quarenta e cinco minutos depois... 


Tom? Aqui é o Eddie. Tente se conectar na rede agora.". Apdos alguns momentos: 
"Ah, que bom esta funcionando. Isso é 6timo." 
"Bom, estou feliz que consegui cuidai disso para vocé." 


"Sim, muito obrigado." 

"Ouga. se quiser ter certeza de que a Sua conexao nao vai cair novamente, vocé precisa 
executar alguns softwares. Isso so vai levar uns minutos." 

"Mas agora nao € uma hora boa." 

"Entendo... Mas isso poderia evitar grandes dores de cabega para nos dois da proxima 
vez que esse problema de rede acontecesse de novo." 

"Bom... Se Sao apenas alguns minutos." 


"Faca 0 seguinte..." 


Eddie instruiu Tom para fazer o download de um pequeno aplicativo de um site Web. 
Apos 0 programa ser carregado. Eddie disse a Tom para clicar duas vezes nele. Ele 
tentou, mas disse: 


"Nao esta funcionando. Nao esta acontecendo nada." 


"Ah. que pena. Deve haver algo de errado com o programa. Vamos nos livrar dele. 
podemos tentar novamente outra hora." E instruiu Tom para excluir o programa de 
modo que ele nao pudesse ser recuperado. 


Tempo total decorrido: doze minutos. 


A historia do atacante 


Bobby Wallace sempre achou que era uma piada quando ele pegava um bom trabalho como esse e 
seu cliente evitava responder a pergunta que ninguém fazia, mas que era 6bvia: por que eles queriam 
as informag6es. Neste caso, ele s6 podia imaginar dois motivos. Talvez eles representassem alguma 
organiza¢ao que estava interessada em comprar a empresa-alvo, a Starboard, e quisessem saber exa- 
tamente qual era a sua situa¢gao financeira — particularmente todas aquelas coisas que 0 alvo poderia 
querer esconder do comprador em potencial. Ou talvez eles representassem investidores que achavam 
que havia algo de estranho no modo como o dinheiro estava sendo tratado e queriam descobrir se 
algum executivo poderia ser pego com "a mao na botija". 


E talvez o seu cliente também nao quisesse lhe dizer 0 verdadeiro motivo, porque se Bobby 
soubesse como as informagées eram valiosas, ele provavelmente iria querer mais dinheiro para fazer 
o trabalho. 
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Existem varias maneiras de invadir os arquivos mais secretos de uma empresa. Bobby passou 
alguns dias pensando nas opc¢oes e fazendo algumas verificag6es antes de resolver que plano iria usar. 
Ele optou por um que pedia uma abordagem de que gostava muito, na qual o alvo é definido para 
pedir ajuda ao atacante. 


Para os iniciantes, Bobby escolheu um telefone celular pré-pago de US$ 39,95, em uma loja de 
conveniéncia. Ele fez uma ligacgao para o homem que havia sido escolhido como seu alvo, fingiu ser 
do help desk da empresa e organizou as coisas para que o homem ligasse para o telefone celular de 
Bobby a qualquer momento que houvesse um problema com a sua conex4o de rede. 


Ele deu uma pausa de dois dias para nao parecer tao 6bvio e, em seguida, ligou para o centro 
de operagoes de rede da empresa (NOC). Ele disse que estava solucionando um problema para 
Tom, 0 alvo, e pediu que a conexao de rede de Tom fosse desligada. Bobby sabia que essa era a 
parte mais complicada de todo o plano — em muitas empresas, 0 pessoal do help desk trabalha 
junto com o NOC; na verdade, ele sabia que o help desk geralmente faz parte da organizacao de 
TI. Mas o indiferente rapaz do NOC com quem ele falou tratou a ligagaéo como rotina, nao pediu o 
nome do funciondario que deveria estar trabalhando no problema de rede e concordou em desativar 
a porta de rede do alvo, Quando tudo estava pronto. Tom estaria totalmente isolado da intranet da 
empresa, incapaz de recuperar arquivos do servidor, de trocar arquivos com seus colegas, de fazer 
o download das suas mensagens de correio eletr6nico ou mesmo de enviar uma pagina de dados 
para a impressora. No mundo de hoje, isso € como morar em uma caverna. 


Como Bobby esperava, nao demorou muito para o seu celular tocar E claro que ele deu a impres- 
sao de estar disposto a ajudar esse pobre "colega de trabalho" com problemas. Em seguida, ligou para 
o NOC e fez com que a conexao de rede do homem voltasse. Finalmente, ele ligou para o homem 
e manipulou a sua credulidade mais uma vez, desta vez fazendo-o sentir-se culpado por dizer nao 
depois que Bobby lhe havia prestado um favor. Tom concordou com a solicitagao de descarregar um 
software no seu computador. 


Aquilo com o qual ele concordou nao era 0 que parecia. O software que Tom descarregou como 
algo que evitaria que a sua conexao fosse desligada era. na verdade, um Cavalo de Troia, um apli- 
cativo de software que fez no computador de Tom aquilo que a fraude original havia feito para os 
troianos: ele trouxe 0 inimigo para dentro do campo de batalha. Tom relatou que nada havia aconte- 
cido quando clicou duas vezes no icone do software; o fato era que, por projeto, ele nao veria nada 
acontecendo, embora 0 pequeno aplicativo estivesse instalando um programa secreto que permitiria 
ao inimigo infiltrado ocultar o acesso ao computador de Tom. 


Cavalo de Troia Um programa que contém um codigo malicioso ou prejudicial, cria- 
do para gerenciar os arquivos do computador da vitima ou para obter informacgoes do 
computador ou da rede da vitima. Alguns deles foram criados para ocultar-se dentro 
do sistema operacional do computador e espiar cada tecla digitada ou acao, ou para 
aceitar instrugoes por uma conexao de rede para executar alguma funcao, tudo isso 
sem que a vitima tenha consciéncia da sua presenga. 


Capitulo 5 "Posso Ajudar?” 49 


Com o software em execuc¢ao, Bobby leve o controle completo do computador de Tom através de 
uma aplica¢ao-cliente repleta de shells de comandos remotos. Quando Bobby acessava 0 computador 
de Tom, ele podia procurar os arquivos da contabilidade que lhe interessavam e podia copia-los. Em 
seguida, quando quisesse, ele poderia examina-los para obter as informacgOes que dariam a seus clien- 
tes aquilo que eles estavam procurando. 


E isso nao era tudo. Ele poderia voltar a qualquer momento para pesquisar as mensagens de 
correio eletr6nico e os memorandos particulares dos executivos da empresa, poderia executar uma 
pesquisa de texto com as palavras que revelariam partes interessantes da informac¢ao. 


Naquela noite, depois de enganar o seu alvo para que ele instalasse um Cavalo de Tréia, Bobby 
jogou o telefone celular em uma lata de lixo. Obviamente, ele teve o cuidado de limpar primeiro a 
mem6ria e tirar a bateria — a Ultima coisa que ele queria era que alguém ligasse para o numero do 
celular por engano e fizesse o telefone tocar! 


Analisando a trapaca 


O atacante cria uma teia para convencer 0 alvo de que ele tem um problema que na verdade nao existe 
--- OU, como neste caso, de um problema que ainda nao aconteceu, mas que 0 atacante sabe que aconte- 
cerd porque ele vai causa-lo. Em seguida, ele se apresenta como a pessoa que pode fornecer a solucao. 


O cenario desse tipo de ataque é particularmente suculento para 0 atacante. Devido a semente 
plantada com antecedéncia, quando o alvo descobre que tem um problema, ele mesmo faz a ligacao 
telefOnica para implorar ajuda. O atacante s6 tem de se sentar e esperar que o telefone toque, uma ta- 
tica conhecida na area como engenharia social inversa. Um atacante que consegue fazer o alvo ligar 
para ele ganha credibilidade constante. Se eu fizer uma ligacao para alguém que acho que trabalha 
no help desk, nao vou comegar a pedir que ele prove a sua identidade. E nesse ponto que o atacante 
sabe que conseguiu. 


Recado do 
| Mitnick | 


Se um estranho lhe fizer um favor e depois pedir outro em troca, nao faca nada sem 
antes pensar cuidadosamente naquilo que ele esta pedindo. 


Shell de comandos remoto Uma interface nao-grafica que aceita comandos baseados 
em texto para executar determinadas funcgoes ou executar programas. Um atacante 
que explora as vulnerabilidades técnicas ou que pode instalar um programa Cavalo de 
Troia no computador da vitima pode obter o acesso remoto a um shell de comandos. 


Engenharia social inversa Um ataque de engenharia social no qual o atacante cria 
uma situacgao na qual a vitima tem um problema e entra em contato com ele para obter 
ajuda. Outra forma de engenharia social inversa é aquela que se volta contra o atacan- 
te. O alvo reconhece o ataque e usa principios psicologicos de influéncia para tirar o 
maximo possivel de informacoes do atacante para que a empresa possa preservar os 
ativos visados. 
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Em um golpe como esse, 0 engenheiro social tenta escolher um alvo que tenha conhecimentos 
limitados de computadores. Quanto mais ele souber, maiores as chances de ele suspeitar ou descobrir 
que esta sendo manipulado. Aquele que as vezes chamo de funcionario com um desafio de computador, 
que tem menos conhecimento da tecnologia e dos procedimentos, tem mais chances de colaborar. 
Ele tem mais chances de cairem uma armadilha do tipo "Basta fazer o download de um programa 
pequeno" porque nao tem a menor idéia do dano em potencial que um programa de computador pode 
causar Alem disso, ha uma chance bem menor de que ele entenda o valor das informag6es que esto 
na rede de computadores que ele esta colocando em risco. 


UMA AJUDAZINHA PARA O NOVO COLEGA 


Os empregados novos sao 0 alvo preferido dos atacantes. Eles ainda nao conhecem muitas pessoas, 
nao conhecem os procedimentos ou 0 que podem ou nao fazer na empresa, E para causar uma boa 
impressao, eles esto ansiosos para mostrar como sao prestativos e como podem ser rapidos. 


A prestativa Andrea 


"Recursos Humanos, Andrea Calhoun." 

"Andrea, oi, aqui € Alex da Segurang¢a Corporativa." 

"Sim?" 

"Como vai?" 

"Tudo bem. Em que posso ajuda-lo?" 

"Ouga, estamos desenvolvendo um seminario sobre seguranca para os empregados 
novos e precisamos de algumas pessoas para fazer uma experiéncia. Preciso do no- 
me e do numero de telefone de todos os novos contratados do més passado. Vocé 
pode me ajudar?" 

"So terei essa lista esta tarde. Tudo bem? Qual é o seu ramal?" 

"Claro, tudo bem, o ramal é€ 52... ah, mas vou estar em reuniao na maior parte do dia. 
Ligo para vocé quando voltar ao escritorio, talvez apds as quatro." 

Quando Alex ligou, la pelas 16h30, Andrea ja tinha a lista pronta e leu os nomes e os 

ramais, 


Um recado para Rosemary 


Rosemary Morgan estava encantada com o seu novo emprego. Ela nunca havia trabalhado 
antes em uma revista e estava achando as pessoas mais amigas do que havia imaginado, 
uma surpresa por causa da pressao interminavel sofrida pela maioria da equipe sobre 
O prazo para entregar a edicao do més. A ligacao que ela recebeu uma manha de ter¢a- 
feira reconfirmou essa impressao de amizade. 


"E Rosemary Morgan?" 

"Sim." 

"Ola, Rosemary, Aqui é Bill Jorday do grupo de Seguranca da Informacao." 
"Sim?" 


"Alguem do nosso departamento ja falou com vocé sobre as melhores praticas de 
seguranca?" 
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"Acho que nao." 

"Bem, vejamos. Para os iniciantes, nao permitimos que ninguém instale um software 
trazido de fora da empresa. Isso porque nao queremos nenhum problema com soft- 
ware sem licenga de uso. E também para evitar quaisquer problemas com software 
que tenha um worm ou um virus." 

Tudo bem." 

"Vocé esta a par das nossas politicas sobre correio eletrénico?" 

"Nao." 

"Qual 6 o seu endereco de correio eletr6énico atual?" 

"Rosemary@ttrzine.net." 
"O seu nome de usuario € Rosemary?" 
"Nao. E R-sublinhado-Morgan." 


"Certo. Queremos que todos os nossos novos empregados saibam que pode ser perigoso 
abrir anexos de correio eletrdnico que vocé nao esta esperando. Muitos dos virus sao 
enviados e chegam em mensagens de correio eletr6nico que parecem vir de pessoas 
que vocé conhece. Assim sendo, se receber uma mensagem de correio eletr6énico 
com um anexo que nao esta esperando, vocé deve sempre verificar se a pessoa 
relacionada na caixa de destinatario realmente enviou a mensagem. Vocé entendeu?" 


"Sim, ja ouvi falar disso." 


"Bom. E a nossa politica diz que vocé tem de mudar de senha a cada 90 dias. Qual foi a 
ultima vez que vocé mudou a sua senha?" 


"Estou aqui ha apenas trés semanas; ainda estou usando a primeira senha que criei." 


"Muito bem. Vocé pode aguardar o restante dos 90 dias. Mas precisamos ter certeza de 
que as pessoas estao usando senhas que nao sejam muito faceis de adivinhar. Vocé 
esta usando uma senha formada por letras e numeros?" 


"Nao." 
Temos de corrigir isso. Que senha vocé esta usando agora?" 
"O nome da minha filha: Annette." 


"Essa nao € mesmo uma senha segura. Vocé nunca deve escolher uma senha que se 
baseia em informagoes da familia. Bem. vejamos... vocé poderia fazer o mesmo que 
eu. Vocé pode usar o que esta usando agora como a primeira parte da senha, mas 
sempre que mudar vocé inclui um numero para o més atual." 


"Entao, se eu fizesse isso agora em marco, eu usaria trés ou zero trés?" 
"isso depende de vocé. Aquilo com o qual vocé se sentir mais a vontade." 
"Acho que Annette-trés." 

"Bom. Vocé quer que eu diga como vocé faz para alterar a senha?" 

"Nao, eu sei como fazer isso." 


"Bom. E mais umacoisa sobre a qual precisamos conversar. Vocé tem software antivirus 
no seu computador e é importante manté-lo atualizado. Vocé nunca deve desativar 
a atualizagao automatica, mesmo que 0 seu computador fique mais lento de vez em 
quando. Tudo bem?" 


"E claro." 


"Muito bom. E vocé tem o nosso numero de telefone. Se tiver algum problema com o 
computador, é so nos ligar." 
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Ela nao tinha o numero. Ele deu-lhe o numero, ela tomou nota e voltou a trabalhar nova- 
mente, feliz com 0 modo como se sentia bem cuidada. 


Analisando a trapaca 


Esta hist6ria reforga um tema basico que vocé encontrara aqui: a maioria das informa¢ées co- 
muns que um engenheiro social quer de um empregado, independente do seu objetivo final, sao as 
credenciais de autenticacgao do alvo. Com um nome de conta e uma senha em maos de um Unico 
empregado na area certa da empresa, 0 atacante tem o que ele precisa para entrar e localizar as 
informagOes que esta procurando. Ter essas informagdes €é como encontrar as chaves do reino; com 
elas em maos é possivel mover-se livremente pelo espaco corporativo e encontrar 0 tesouro que se 
busca. 


Recado do 
VIL K 


Antes que os empregados novos tenham acesso a qualquer sistema de computador da 
empresa, eles devem ser treinados para seguir as boas praticas de seguranca, particu- 
larmente as politicas sobre nunca divulgar suas senhas. 


NAO TAO SEGURO QUANTO VOCE ACHA 


"A empresa que nao se esforca para proteger suas informagées confidenciais é simplesmente negli- 
gente." Muitas pessoas concordam com essa declaragao. E o mundo seria um lugar melhor se a vida 
nao fosse tao d6bvia e tao simples. A verdade é que mesmo essas empresas que se esforgcam para pro- 
teger as informagoes confidenciais podem estar correndo um sério risco. 


Esta é uma hist6ria que ilustra o modo como as empresas se enganam a cada dia, pensando que suas 
praticas de seguranga criadas por profissionais experientes e competentes nao podem ser burladas. 


A historia de Steve Cramer 


Nao era um grande gramado, nao um daqueles gramados caros e bem plantados. Ele nao despertava 
inveja. E certamente nao era bastante grande para dar-Ihe uma desculpa para comprar um cortador de 
grama elétrico, 0 que era bom, porque ele nao teria usado uma de qualquer maneira. Steve gostava 
de cortar a grama com o cortador manual porque era mais longo e a tarefa era uma desculpa conve- 
niente para concentrar-se em seus proprios pensamentos em vez de ouvir Anna contando as histdrias 
das pessoas do banco onde ela trabalhava ou explicando as tarefas que ele teria de realizar. Ele 
odiava aquelas listas do que fazer que haviam se tomado parte integrante dos seus finais de semana. 
Ele lembrou-se daquele Pete de 12 anos que era esperto demais e conseguiu fazer parte da equipe 
de natacao. Agora ele tinha de estar trabalhando ou em uma reuniao todos os sdbados para se livrar 
das tarefas do sabado. 


Algumas pessoas poderiam achar que o trabalho de Steve, que criava novos dispositivos para 
a GeminiMed Medicai Products, era aborrecedor; mas ele sabia que estava salvando vidas. Steve 
imaginava a si mesmo como pertencente a uma linha criativa de trabalho. Artistas, compositores, 
engenheiros — no seu ponto de vista, todos eles enfrentavam o mesmo tipo de desafio que ele: eles 
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cniavam algo que ninguém havia feito antes. E 0 seu mais recente e curioso tipo de heart stent* seria 
a realizacao que lhe daria mais orgulho de todas. 

Fra quase 11 h30 da manha naquele sabado, e Steve estava aborrecido porque ja linha quase ter- 
minado de cortar a grama e ainda nao havia feito nenhum progresso real para descobrir como reduzir 
OS requisitos de energia do heart stent, a ultima barreira que restava. Um problema perfeito para ser 
resolvido enquanto se corta a grama, mas nenhuma solu¢ao havia surgido. 


Anna apareceu na porta, com 0 cabelo coberto com o lencgo xadrez de cowboy que ela usava para 
tirar o po da casa. "Telefone", ela gritou para ele. "E alguém do trabalho." 


"Quem?", perguntou Steve. 

"Ralph alguma coisa, acho." 

Ralph? Steve nao conseguia se lembrar de alguém da GeminiMed chamado Ralph que poderia 
estar ligando em um final de semana. Mas Anna provavelmente havia entendido 0 nome errado. 


"Steve, aqui € Ramon Perez, do Suporte Técnico". Ramon — como sera que Anna conseguiu 
entender um nome tao diferente como Ralph, Steve se perguntava. 

"Esta € apenas uma ligacao de cortesia", Ramon dizia. "Trés dos servidores estao paralisados, 
achamos que pode ser um virus e temos de limpar as unidades de disco c restaurar do backup. Os seus 
arquivos estarao prontos na quarta ou quinta-feira com sorte." 

"Isso nao é possivel", disse Steve com firmeza, tentando nao se deixar tomar pela frustra¢ao. 
Como essas pessoas podiam ser tao estipidas? Elas realmente achavam que ele poderia ficar sem 
acessar seus arquivos durante todo o final de semana e na maior parte da préxima semana? "De 
maneira nenhuma. Vou me sentar no meu terminal aqui em casa daqui a duas horas e preciso acessar 
meus arquivos. Isso esta claro?" 

"Sim. bem, todos para quem liguei até agora querem ser os primeiros da lista. Desisti do meu final de 
semana para vir trabalhar nisso e nao é engracado ter todo mundo com quem falo brigando comigo." 

"Estou com um prazo curto, a empresa conta com isso; tenho de fazer o trabalho nesta tarde. Que 
parte disso vocé nao entendeu?" 

"Ainda tenho de ligar para muita gente antes de comegar", retrucou Ramon. "E se eu dissesse que 
vocé tera Os seus arquivos na terga?" 

"Nao na terga, nao na segunda, hoje. AGORA!", disse Steve, tentando descobrir para quem ele 
ligaria se nao conseguisse fazer esse cabeca dura entender. 

"OK, OK", repetiu Ramon, e Steve o ouviu dar um suspiro de aborrecimento. "Vou ver o que 
posso fazer para que vocé nao pare. Vocé usa 0 servidor RM22. certo?" 

"O RM22 e o GM 16. Os dois." 


"Certo. OK, posso pular algumas etapas e economizar algum tempo — vou precisar do seu nome 
de usuario e senha." 

Uh oh. Steve pensou. O que estd acontecendo? Por que ele precisa da minha senha? Por que o 
TI entre todas as pessoas pediria a senha? 


"Qual € o seu sobrenome e quem é€ 0 seu supervisor?" 


* Heart Stent: projeto que une a informatica e a medicina para desenvolver técnicas que estudam detalhes do coragao e seu 
funcionamento, utilizando o que existe de mais modemo em tecnologia. (N.R-T.) 
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"Ramon Perez. Veja, quando vocé foi contratado, havia um formulario a preencher para obter 
uma conta de usuario e vocé tinha de colocar uma senha. Eu poderia procurar e mostrar que o temos 
no arquivo aqui. Tudo bem?" 


Steve pensou alguns instantes e concordou. Ele desligou com impaciéncia cada vez maior, en- 
quanto Ramon foi procurar os documentos em um arquivo. Finalmente ele voltou ao telefone, Steve 
podia ouvi-lo procurando na pilha de papéis. 


"Ah, aqui esta", disse finalmente Ramon. "Vocé colocou a senha '‘Janice’." 


Janice, Steve pensou. Esse era o nome da mae e ele o havia usado algumas vezes como senha. Ele 
podia muito bem ter colocado essa senha ao preencher a documentac¢4o de contrata¢ao. 


"Sim, esta certo", ele reconheceu. 


"OK, estamos perdendo tempo. Vocé sabe que nao estou mentindo, quer que eu use 0 atalho e 
devolva seus arquivos rapidamente. Vocé vai me ajudar?" 


"O meu ID és, d, sublinhado, cramer — c-r-a-m-e-r. A senha é 'pelicano’." 


"Vou comecar imediatamente”", afirmou Ramon, finalmente parecendo prestativo. "S6 preciso de 
algumas horas." 


Steve terminou o gramado, almocgou e quando voltou ao computador descobriu que, sem dtivida, 
seus arquivos haviam sido restaurados. Ele ficou feliz consigo mesmo por ter lidado com tanta energia 
com aquele funcionario pouco gentil do TI e esperava que Anna tivesse ouvido como ele foi positivo. 
Seria bom que Ramon ou o seu chefe recebessem uma adverténcia, mas ele sabia que isso era uma 
daquelas coisas com as quais ele nunca ia querer se envolver. 


A historia de Craig Cogburne 


Craig Cogburne era vendedor de uma empresa de alta tecnologia e era um bom vendedor. Depois de 
um certo tempo ele comecou a perceber que tinha habilidade para fazer a leitura de um cliente, en- 
tender quais eram os pontos de resisténcia da pessoa e reconhecer alguns pontos fracos ou vulnera- 
bilidades que facilitavam o fechamento da venda. Ele comecou a pensar em outras maneiras de usar 
esse talento, e o caminho o levou a um campo muito mais lucrativo: a espionagem corporativa. 


—- i, a te © 


Esse era um cargo quente. Nao parecia que seria preciso muito tempo e esfor¢o para pagar uma 
viagem para o Havai. Ou talvez para o Taiti. 


O rapaz que me contratou nao me contou quem era o cliente, é claro, mas parecia ser alguma em- 
presa que queria acabar com a concorréncia em um salto unico, rapido e facil. Tudo que eu precisava 
fazer era obter os projetos e especificagdes de produto de um dispositivo novo chamado heart stent, 
independente do que fosse. A empresa chamava-se GeminiMed. Eu nunca ouvira falar dela, mas ela 
era uma das empresas da Fortune 500, com escrit6rios em meia dtizia de lugares — 0 que tomava 
o trabalho mais facil do que em uma empresa na qual ha boas chances de a pessoa com quem vocé 
esta falando conhecer o funcionario que vocé diz ser e saber que vocé nao é ele. Isso, como dizem os 
pilotos sobre uma colisao em pleno ar, pode arruinar todo o seu dia. 


O meu cliente enviou-me um fax, uma parte de uma revista médica que dizia que a GeminiMed 
estava trabalhando em um heart stent com um novo desenho radical, 0 qual seria chamado de STH- 
100. Para ajudar, algum reporter ja havia feito grande parte do trabalho para mim. Tinha uma coisa 
que eu precisava ter antes mesmo de comegar: 0 nome do novo produto. 
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Primeiro problema: obter os nomes das pessoas da empresa que trabalhavam no STH-100 ou 
que precisariam ver os projetos. Assim sendo, liguei para a telefonista e disse: "Prometi para um 
funcionario do seu grupo de engenharia que eu entraria em contato com ele e nao me lembro do seu 
sobrenome, mas 0 primeiro nome comegava com S". Ela respondeu: "Temos Scott Archer e Sam Da- 
vidson." Fiz uma longa pausa. "Qual deles trabalha no grupo do STH-100?" Ela nao sabia, e escolhi 
Scott Archer aleatoriamente. Ela fez a ligacao. 


Quando ele atendeu, comecei: "Ola, meu nome é Mike. da sala de correspondéncia. Tenho uma 
encomenda FedEx aqui para a equipe de projeto do Heart Stent STH-100. Vocé tem alguma idéia 
para quem mando?" Ele me deu o nome do lider do projeto, Jerry Mendel. Ele ate procurou o nimero 
do telefone na lista para mim, 


Liguei. Mendel nao estava 14, mas a mensagem na sua secretaria eletr6nica dizia que ele estava 
de férias até o dia 13, 0 que significava que ele tinha ainda mais uma semana para esquiar ou 0 que 
fosse, e todos que precisassem de alguma coisa nesse meio tempo deveriam ligar para Michelle no 
ramal 9137. Esse pessoal é muito prestativo, muito prestativo, sem duvida. 


Desliguei e liguei para Michelle: "Aqui e Bill Thomas, Jerry me disse para eu ligar quando tives- 
se as especificagdes para que a sua equipe examinasse. Vocé esta trabalhando no heart stent, certo?" 
Ela disse onde eles estavam. 


Agora estavamos chegando a parte mais interessante do golpe, Se ela comegasse a suspeitar, eu 
estava pronto para jogar uma carta sobre como eu estava tentando fazer um favor que Jerry havia me 
pedido. Indaguei: "Em qual sistema vocé esta?" 


"Sistema?" 
"Quais servidores de computador o seu grupo usa?" 
"Ah, sim", ela disse, "0 RM22. E algumas pessoas do grupo usam também o GM16". 


Bom. Precisava disso e essa era uma informacao que eu podia ter sem que ela suspeitasse de 
alguma coisa. Para que ela me desse a pr6xima informacao falei 0 mais informalmente que pude. 
"Jerry disse que vocé me daria uma lista de enderecos de correio eletr6nico das pessoas da equipe de 
desenvolvimento." E prendi a respiracao. 


"Certo. A lista de distribuigaéo é muito longa para eu ler, posso envia-la por correio eletrénico 
para vocé?" 


Opa! Qualquer endereco de correio eletr6nico que nao terminasse com GeminiMed.com seria 
uma imensa bandeira vermelha. "Vocé pode me enviar por fax?", perguntei. 


Ela nao viu nenhum problema nisso. 


"O nosso aparelho de fax esta com problemas. Vou lhe dar o nimero de outro. Ja ligo de volta". 
afirmei e desliguei. 


Vocé deve achar que tinha um problema complicado aqui, mas esse é apenas outro truque de ro- 
tina dos negécios. Esperei um pouco para que a minha voz nao fosse reconhecida pela recepcionista 
e, em seguida, liguei: "Oi, meu nome é Bill Thomas, 0 nosso aparelho de fax nao esta funcionando, 
posso pedir para enviarem um fax para a sua maquina?" Ela disse que sim e me deu o numero. 


Eu poderia ir 14 e pegar o fax, certo? E claro que nao. Primeira regra: nunca visite as instalacoes, 
a menos que isso seja absolutamente necessdério. Eles tém muita dificuldade em identifica-lo se for 
apenas uma voz ao telefone. E se nao puderem identifica-lo, eles nao podem prendé-lo. E dificil al- 
gemar uma voz. Assim sendo, liguei para ela depois de algum tempo e perguntei se o meu fax havia 
chegado, "Sim", respondeu. 
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"Olhe", salientei, "tenho de enviar isso para um consultor que estamos usando, Vocé poderia en- 
viar o fax para mim?" Ela concordou. E por que nao — como uma recepcionista poderia reconhecer 
informagoes confidenciais? Enquanto ela enviava o fax para o "consultor", fiz a minha caminhada 
diaria ate uma loja de servicos de escrit6rio pr6xima da minha casa, aquela que tem uma placa di- 
zendo "Enviamos e recebemos faxes". O meu fax deveria chegar antes de mim e, como esperava, ele 
estava 14 me aguardando quando cheguei. Seis paginas por US$ 1,75. Por uma nota de US$ 10 mais 
0 troco tinha toda a lista de nomes e enderecgos de correio eletrénico do grupo. 


Entrando 


Muito bem, ja havia falado com trés ou quatro pessoas diferentes em apenas algumas horas e ja estava 
um passo de gigante mais proximo de entrar nos computadores da empresa, Mas precisava de mais 
algumas informac¢6es antes de estar em casa. 


A informacgao nimero um era o nimero de discagem externa do servidor da Engenharia. Liguei 
novamente para a GeminiMed e pedi a telefonista para falar com o Departamento de TI. Para o fun- 
cionario que atendeu, pedi para falar com alguém que pudesse me dar ajuda com computadores. Ele 
me transferiu e fingi me confundir e ser meio estupido com qualquer coisa técnica. "Estou em casa, 
acabei de comprar um laptop novo e preciso configura-lo para poder discar de fora." 


O procedimento era 6bvio, mas deixei pacientemente que ele me instruisse até que eu conseguis- 
se o numero de discagem. Ele me deu 0 nimero como mais uma informag¢aéo de rotina. Em seguida, 
pedi para ele esperar e experimentei. Perfeito! 


Agora eu ja havia superado o problema de me conectar a rede. Disquei e descobri que eles esta- 
vam configurados com um servidor de terminal que permitia me conectar a qualquer computador da 
sua rede interna. Apds muitas tentativas, encontre1 0 computador de alguém que tinha uma conta de 
convidado que nao exigia senha. Alguns sistemas operacionais quando sao instalados pela primeira 
vez orientam o usuario para configurar um ID e uma senha, mas também fornecem uma conta de 
convidado. O usuario deve definir sua propria senha para a conta de convidado ou desativa-la, mas 
a maioria das pessoas nao sabe disso ou nao quer saber. Esse sistema provavelmente acabara de ser 
configurado e o proprietario nao tinha se dado ao trabalho de desativar a conta de convidado. 


Gracas a conta de convidado, agora eu tinha acesso a um computador, o qual por acaso executava 
uma versdo mais antiga do sistema operacional UNIX. No UNIX, o sistema operacional mantém um 
arquivo de senha que contem as senhas criptografadas de todos que estao autorizados a acessar aquele 
computador O arquivo de senhas contém o hash de uma via (ou seja, uma forma de criptografia que 
é irreversivel) da senha de cada usudrio. Com um hash de uma via, uma senha real "justdoit", por 
exemplo, seria representada como um hash na forma criptografada; neste caso, o hash seria converti- 
do pelo UNIX em treze caracteres alfanuméricos, 


Quando Billy Bob quer transferir alguns arquivos para um computador, ele deve identificar a 
si mesmo fornecendo um nome de usuario e uma senha. O programa do sistema que verifica essa 


Senha hash Uma string de coisas ininteligiveis que resulta do processamento de uma 
senha por meio de um processo de criptografia de uma via. O processo deve ser irre- 
versivel; ou seja, acredita-se que nao é possivel reconstruir a senha a partir do hash. 
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autorizacao criptografa a senha que ele insere e, em seguida, compara o resultado com a senha crip- 
tografada (o hash) contida no arquivo de senhas. Se as duas coincidirem, 0 acesso é concedido. 


Como as senhas do arquivo estavam criptografadas, o arquivo em si foi disponibilizado para todo 
usuario com base na teoria de que nao ha um modo conhecido de decriptografar as senhas. Isso é 
uma piada — eu fiz 0 download do arquivo, executei um ataque de senhas automatizadas (brute force 
attacks) nele (consulte 0 Capitulo 12 para obter mais informac6es sobre esse método) e descobri que 
um dos engenheiros da equipe de desenvolvimento, um funcionario chamado Steven Cramer, no mo- 
mento tinha uma conta no computador com a senha "Janice". SO por acaso, tentei entrar na sua conta 
com aquela senha em um dos servidores de desenvolvimento. Se isso funcionasse, teria economizado 
algum tempo e um pouco de risco. Mas isso nao funcionou. 


Isso significava que eu tinha de fazer 0 rapaz me dizer o seu nome de usuario e senha. Para tanto, 
teria de esperar até o final de semana. 


Vocé j4 sabe 0 resto. No sabado, liguei para Cramer e contei a histéria sobre um virus e Os servi- 
dores que tinham de ser restaurados do backup para superar a sua suspeita. 


E sobre a tal hist6ria que contei para ele, aquela sobre a senha que ele deu quando preencheu 
a sua documentacao de funcionario? Estava contando com o fato de que ele nao se lembraria que 
isso nunca aconteceu. Um empregado novo preenche tantos formularios que, anos mais tarde, quem 
iria se lembrar? E de qualquer forma, se tivesse de desistir dele, ainda teria aquela longa lista com 
outros nomes. 


Com o seu nome de usuario e senha, entrei no servidor, pesquei um pouco e. em seguida, loca- 
lizei os arquivos de projeto do STH-100. Nao tinha muita certeza sobre quem eram as pessoas mais 
importantes e, assim, transferi todos os arquivos para um dead drop, um site FTP gratis na China, no 
qual eles podiam ser armazenados sem levantar suspeitas de ninguém. Deixe que o cliente procure 
em tudo e encontre o que ele quer. 


Analisando a trapaca 


Para o homem que estamos chamando de Craig Cogbure ou para qualquer pessoa como ele, com 
habilidades semelhantes nas artes do roubo que nem sempre sao ilegais da engenharia social, o 
desafio apresentado aqui era quase que rotineiro. Seu objetivo era localizar e fazer 0 download dos 
arquivos armazenados em um computador corporativo seguro, protegido por um firewall e por toda 
a tecnologia normal de segurang¢a. 


A maioria do seu trabalho era tao facil quanto recolher 4gua da chuva em um barril. Ele comecou 
fazendo-se passar por alguém da sala de correspondéncia e imp6s uma sensacao extra de urgéncia 
dizendo que havia um pacote do FedEx aguardando para ser entregue. Essa fraude forneceu 0 nome 
do chefe da equipe do grupo de engenharia do heart stent, 0 qual estava em férias, mas — como era 


Dead drop Um lugar para deixar as informagées, no qual é pouco provavel que sejam 
encontradas por outras pessoas. No mundo dos espioes tradicionais, isso poderia estar 
atras de um tijolo falso na parede; no mundo dos hackers de computadores, € comum 
haver um site da Internet em um pais remoto. 
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conveniente para qualquer engenheiro social que estava tentando roubar informagdes — ele havia 
deixado 0 nome e ntimero de telefone da sua assistente. Ao ligar para ela, Craig eliminou todas as 
suspeitas dizendo que estava atendendo a uma solicitagao do chefe da equipe. Com o chefe da equipe 
fora da cidade, Michelle nao tinha como verificar essa solicitagaéo. Ela aceitou-a como verdadeira e 
nao teve problemas para fornecer uma lista das pessoas do grupo — para Craig, esse era um conjunto 
de informac6es necessario e muito valioso. 


Ela nem suspeitou quando Craig quis que a lista fosse enviada por fax e nao por correio eletré- 
nico, 0 qual seria mais conveniente para ambos os lados. Por que ela foi tao crédula? Assim como 
muitos outros empregados, ela nao queria que o seu chefe voltasse e descobrisse que ela havia impe- 
dido uma pessoa que estava apenas tentando fazer algo que o chefe havia pedido para ele fazer. Além 
disso, 0 interlocutor disse que o chefe nao apenas autorizou a solicitagao, como também pediu o seu 
auxilio. Novamente, este €é um exemplo de alguém que tem um forte desejo de fazer parte de uma 
equipe, 0 que torna as pessoas mais sujeitas a fraude. 


Craig evitou o risco de entrar fisicamente no prédio fazendo com que o fax fosse enviado para a 
recepcionista e sabendo que talvez ela ajudaria. Afinal, as recepcionistas sao selecionadas por suas 
personalidades charmosas e por sua capacidade de causar uma boa impressao. Fazer pequenos favo- 
res como receber um fax e envid-lo é algo que se espera da recepcionista. Craig aproveitou-se desse 
fato. Aquilo que ela estava enviando seriam informac6es que poderiam ter tocado o alarme para qual- 
quer pessoa que conhecesse o valor das informagdes — mas como uma recepcionista poderia saber 
quais informagoes sao inofensivas e quais sao confidenciais? 


Usando um estilo diferente de manipulagao, Craig agiu como alguém confuso e ingénuo para 
convencer o funcionario das opera¢gdes de computadores a fornecer o numero de acesso por discagem 
para o servidor de terminal da empresa, 0 hardware usado como um ponto de conexao com os outros 
sistemas de computadores dentro da rede interna. 


Recado do 


Mitnick | 


A prioridade de todos que trabalham é fazer o trabalho. Sob essa pressao, as praticas 
de seguranca em geral ficam em segundo plano e sao desprezadas ou ignoradas. Os 
engenheiros sociais usam isso ao praticarem sua arte. 


Craig pode se conectar facilmente tentando uma senha-padrao que nunca havia sido alterada, 
uma das enormes lacunas que existem em muitas redes internas que usam a seguranga de firewall. 
Na verdade, as senhas-padrao de muitos sistemas operacionais, roteadores e outros tipos de produtos, 
entre eles os PBXs, estao disponiveis on-line. Todo engenheiro social, hacker ou espiao industrial. 
bem como os simples curiosos, pode encontrar a lista em http://www.phenoelit.de/dpl/dpl.html. (E 
absolutamente inacreditavel como a Internet facilita a vida daqueles que sabem onde procurar. E vocé 
também sabe!) 


Em seguida, Cogburne conseguiu convencer um homem cauteloso e desconfiado ("Como € 0 seu 
sobrenome? Quem é o seu supervisor?") a divulgar o seu nome de usuario e a sua senha para que ele 
pudesse acessar os servidores usados pela equipe de desenvolvimento do heart stent. Isso foi como 
deixar Craig com uma porta aberta para pesquisar nos segredos mais bem guardados da empresa e 
fazer o download dos planos do novo produto. 
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E se Steve Cramer continuasse suspeitando da ligagaéo de Craig? E pouco provavel que ele pu- 
desse fazer alguma coisa quanto a relatar as suas suspeitas até aparecer no trabalho na segunda-feira 
e, entao, ja seria tarde demais para evitar o ataque. 


Um segredo da Ultima parte do plano: Craig a principio se fez passar por indiferente e desinte- 
ressado nas preocupacdes de Steve e, em seguida, mudou o tom e pareceu estar ajudando Steve a 
fazer o seu trabalho. Na maior parte do tempo, se a vitima acredita que vocé esta tentando ajuda-lo ou 
prestar-lhe algum tipo de favor, ela compartilhara das informa¢oes confidenciais que, de outra forma, 
teriam sido protegidas. 


EVITANDO A TRAPACA 


Um dos truques mais poderosos do engenheiro social envolve a virada da mesa. Foi isso que vocé viu 
neste capitulo. O engenheiro social cria 0 problema e, em seguida, o resolve num passe de magica, 
enganando a vitima para que ela fornec¢a 0 acesso aos segredos mais bem guardados da empresa. Os 
seus empregados seriam pegos nesse tipo de golpe? Vocé ja teve o trabalho de escrever e distribuir 
regras especificas de seguranc¢a para ajudar a evitar isso? 


Educar, educar e educar... 


Existe uma velha historia sobre um visitante de Nova York que para um homem na rua e pergunta: 
"Como vou ao Carnegie Hall?" O homem responde: "Pratica, pratica, pratica." Todos sao tao vulne- 
raveis aos ataques da engenharia social que a Unica defesa efetiva de uma empresa é educar e treinar 
o seu pessoal, dando-lhes a pratica de que precisam para identificar um engenheiro social. E, em se- 
guida, ela deve continuar lembrando sempre o pessoal daquilo que eles aprenderam no treinamento. 
mas que podem esquecer facilmente. 


Todos da organiza¢géo devem ser treinados para ter um grau apropriado de suspeita e cuidado 
ao serem contactados por alguém que nao conhecem pessoalmente, sobretudo quando alguém pede 
algum tipo de acesso a um computador ou rede. E da natureza humana querer confiar nos outros, 
mas com dizem 0s japoneses, os negdcios s4o uma guerra. Os seus negdécios nao podem permitir que 
vocé baixe a guarda. A politica de seguranga corporativa deve definir claramente 0 comportamento 
apropriado e inapropriado. 


A seguranga nao tem tamanho unico. O pessoal dos negécios tem regras e responsabilidades dife- 
rentes e cada posi¢ao tem vulnerabilidades proprias. Deve haver um nivel basico de treinamento que 
todos da empresa devem ter e, depois, as pessoas também devem ser treinadas de acordo com o perfil 
do seu cargo para seguir determinados procedimentos que reduzem as chances de elas se tornarem 
parte do problema. As pessoas que trabalham com informacgoées confidenciais ou que sao colocadas 
em posicdes de confiang¢a devem ter treinamento especializado adicional. 


Mantendo seguras as informacoes confidenciais 


Quando as pessoas sao abordadas por um estranho que oferece ajuda, como vimos neste capitulo, elas 
tém de recorrer 4 politica de seguranga corporativa feita de acordo com as necessidades dos negécios, 
o tamanho e a cultura da sua empresa. 


Nunca coopere com um estranho que pede para vocé procurar informacg6ées, digitar comandos 
desconhecidos em um computador, fazer alteragdes nas configuragdes do software ou — o mais 
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desastroso de tudo — abrir um anexo de correio eletr6nico ou fazer 0 download de um software sem 
verificagao. Todo programa de software — mesmo aquele que parece nao fazer nada — pode nao ser 
tao inocente quanto parece ser. 


Nao acredito que nenhuma empresa deva permitir qualquer troca de senhas. E muito 
mais facil estabelecer uma regra que proibe o pessoal de compartilhar ou trocar as 
senhas confidenciais. Isso também é mais seguro. Mas cada empresa tem de avaliar a 
sua propria cultura e as suas questoes de seguranc¢a para fazer essa opcao. 


Existem determinados procedimentos que, independentemente de um bom treinamento, fazem com 
que fiquemos descuidados com 0 tempo. Nos esquecemos também daquele treinamento nos momentos 
de pressdo, justamente quando precisamos dele. Vocé pensa que nao dar 0 seu nome de conta e senha é 
uma regra que todo mundo sabe (ou deveria saber) e que nem é preciso dizer isso: € uma questao de bom 
senso. Mas, na verdade, cada empregado precisa ser freqiientemente lembrado de que o fornecimento 
de um nome de conta e uma senha do computador do escritério, do computador em casa ou mesmo da 
maquina de postagem na sala de correspondéncia é como dar o nimero do cartao eletrénico do banco. 


Eventualmente — muito eventualmente — existe uma circunstancia na qual é preciso, talvez até 
mesmo importante, dar a outra pessoa as informacoes confidenciais. Por esse motivo, nao é apropria- 
do criar uma regra absoluta sobre "nunca". Mesmo assim, as suas politicas e os seus procedimentos 
de seguranc¢a precisam ser muito especificos sobre as circunstancias nas quais um empregado pode 
dar a sua senha e. 0 mais importante, sobre quem esta autorizado a pedir essas informac¢oes. 


Leve em conta a fonte 


Na maioria das organizac6es, a regra deve ser de que todas as informag6es que possam causar danos 
a empresa ou a um colega de trabalho s6 possam ser dadas a alguém que se conhece pessoalmente ou 
cuja voz seja familiar e possa ser reconhecida sem dtvidas. 


Nas situac6es de alta seguranga, as Unicas solicitagdes que devem ser concedidas sao aquelas en- 
tregues pessoalmente ou com uma forma s6lida de autenticagéo — por exemplo, dois itens separados, 
tais como um segredo compartilhado e um token baseado em tempo. 


Os procedimentos de classificagaéo de dados devem designar que nenhuma informagao seja for- 
necida de uma parte da organiza¢ao envolvida com trabalho confidencial para ninguém que nao seja 
conhecido pessoalmente ou autenticado de alguma maneira. 


Assim sendo, como vocé trata de uma solicitagaéo aparentemente legitima de informagcoes feita 
por outro empregado da empresa, tal como a lista de nomes e enderecos de correio eletr6nico das pes- 
soas do seu grupo? Na verdade, como vocé aumenta a consciéncia para que um item como esse que 
é menos valioso do que, digamos, uma folha de especificagdes de um produto em desenvolvimento, 
seja reconhecido como algo que deve ser usado apenas internamente? Uma grande parte da solucao 
é designar os empregados de cada departamento que tratarao de todas as solicitagdes de informacoées 
a serem enviadas para fora do grupo. Um programa avancado de treinamento em segurang¢a deve ser 
fornecido para conscientizar esses empregados sobre os procedimentos especiais de verificagao que 
devem ser seguidos. 
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Por incrivel que parega, mesmo procurando o nome e numero de telefone do interlo- 
cutor no banco de dados de empregados da empresa e ligar para ele nao é garantia 
absoluta — os engenheiros sociais conhecem maneiras de plantar nomes em um banco 
de dados corporativo ou de redirecionar as ligacdes telefénicas. 


Nao se esqueca de ninguem 


Todos podem identificar as repartig6es dentro da sua empresa que precisam de um alto grau de prote- 
¢ao contra os ataques maliciosos. Mas, com frequéncia, desprezamos os outros lugares que sao menos 
Obvios, embora altamente vulneraveis. Em uma dessas historias, a solicitagao de que um fax fosse 
enviado para um numero de telefone dentro da empresa parecia inocente e segura, embora o atacante 
tenha se aproveitado desse buraco na segurang¢a. A ligao é: todos, desde as secretarias e os assistentes 
administrativos até os executivos da empresa e os gerentes de primeiro escalao, precisam ter um 
treinamento especial em seguranga, para que possam estar alertas para esses tipos de traques. E nao 
se esqueca de fechar a poria da frente. Os recepcionistas também sao alvos primarios dos engenhei- 
ros sociais e também devem ter consciéncia das técnicas fraudulentas usadas por alguns visitantes e 
interlocutores. 


A seguran¢a corporativa deve estabelecer um unico ponto de contato central para os empregados 
que acham que estao sendo alvo de um traque de um engenheiro social. Um unico lugar para relatar 
incidentes de seguranca fornece um sistema de avisos que deixara claro quando um ataque coordena- 
do esta em andamento, para que todo o dano possa ser imediatamente controlado. 


ee a = 


Voce Pode me Ajudar?" 


océ viu como os engenheiros sociais enganam as pessoas oferecendo ajuda. Outra abordagem 

preferida é a virada da mesa: 0 engenheiro social age fingindo que precisa da ajuda da pessoa. 

Todos podemos simpatizar com as pessoas que estao precisando de ajuda, e a abordagem é 
sempre eficaz, permitindo que um engenheiro social atinja 0 seu objetivo. 


O ESTRANHO NA CIDADE 


Uma histéria do Capitulo 3 mostrou como um atacante pode convencer uma vitima a revelar o seu 
nimero de empregado. Esta usa uma abordagem diferente para conseguir 0 mesmo resultado e, em 
seguida, mostra como 0 atacante pode utilizar aquelas informag¢oes. 


Continuando com os Jones 


No Vale do Silicio, existe uma determinada empresa global. Os escrit6rios de vendas espalhados e 
outras instalagdes de campo em todo o mundo estao conectados a sede daquela empresa por meio de 
uma WAN, uma rede de area remota. O intruso, um rapaz esperto chamado Brian Atterby, sabia que 
quase sempre era mais facil invadir uma rede em um dos sites remotos no qual a seguran¢a, quase 
com toda a certeza, €é mais relaxada do que na sede. 


O intruso ligou para o escritério de Chicago e pediu para falar com o Sr. Jones. A recepcionista 
perguntou se ele sabia qual era 0 primeiro nome do Sr. Jones e ele respondeu: "Tenho aqui, estou 
procurando. Quantos Jones vocé tem?" Ela afirmou: "Trés. Em qual departamento ele trabalha?" 


Ele continuou: "Se vocé me disser os nomes talvez eu o reconhega." E ela fez isso: "Barry, Joseph 
e Gordon." 


"Joe. Tenho certeza de que era esse", salientou. "E ele trabalha em... qual departamento?" 
"Desenvolvimento de Negocios." 
"Muito bom. Vocé pode fazer a ligacao, por favor?" 


Ela completou a ligagao. Quando o Jones atendeu, foi a vez do atacante: "Sr. Jones? O1, aqui 
e Tony, da Folha de Pagamentos. Acabamos de concluir a sua solicitagaéo para que o seu cheque de 
pagamento seja depositado diretamente na sua conta no Credit Union." 


"O QUE???!!! Vocé deve estar brincando. Nunca fiz uma solicitacio dessas. Nem tenho conta 
no Credit Union." 
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"Ah, droga. Ja conclui a transa¢ao." 


Jones ficou mais do que aborrecido com a idéia de que 0 seu pagamento poderia ir para a conta de 
outra pessoa, e estava comecando a pensar que o rapaz do outro lado da linha devia ser meio lento. An- 
tes mesmo de ele responder, 0 atacante continuou: "E melhor eu ver o que aconteceu. As alteracées na 
folha de pagamento sao inseridas pelo nimero de empregado. Qual é o seu nimero de empregado?" 


Jones deu o numero. O interlocutor disse: "Nao, vocé esta certo. A solicitagao nao veio de vocé. 
entao." Jones pensou: "Eles estao ficando mais burros a cada ano." 


"Olhe, vou cuidar disto. Vou fazer a correcéo agora mesmo. Nao se preocupe, vocé recebera 0 seu 
pr6ximo cheque de pagamento", disse 0 rapaz com seguranga. 


Uma viagem de negocios 


Nao muito depois disso, o administrador de sistemas da empresa no escritério de vendas em Austin, 
no Texas, recebeu uma ligacao telefOnica. "Aqui é Joseph Jones", anunciou o interlocutor. "Traba- 
Iho no departamento de Desenvolvimento de Negocios. Estarei na cidade por uma semana, no 
Driskill Hotel. Gostaria que vocé me configurasse uma conta temporaria para eu acessar meu correio 
eletr6nico sem precisar fazer uma ligacao interurbana." 


"Me dé novamente o seu nome e o seu numero de empregado", pediu o administrador de siste- 
mas. O falso Jones deu o nimero e continuou: "Vocé tem numeros de discagem rapida?" 


"Espere um pouco. Tenho de verificar as informag6es no banco de dados." Depois de algum tem- 
po ele disse: "OK, Joe. Diga-me qual é 0 ntmero do seu prédio?" O atacante havia feito tudo direito 
e tinha a resposta na ponta da lingua. 


Recado do 


Nao dependa das salvaguardas e firewalls de rede para proteger as suas informacoes. 
Olhe o seu ponto mais vulneravel. Geralmente vocé descobre que aquela vulnerabilida- 
de esta no seu pessoal. 


"Muito bem", o administrador de sistemas afirmou, "vocé me convenceu". 


Foi tudo muito simples. O administrador de sistemas havia verificado 0 nome de Joseph Jones, o 
departamento e 0 numero de empregado e "Joe" havia dado a resposta certa para a pergunta de teste. 
"O seu nome de usuario sera igual ao seu nome na corporacao, jbjones", explicou o administrador de 


sistemas, "e eu vou lhe dara senha inicial 'changeme'". 


Analisando a trapaca 


Com algumas ligagdes e gastando quinze minutos, 0 atacante havia ganhado acesso a rede de area 
remota da empresa. Essa era uma empresa que, como muitas outras, tinha aquilo que eu chamava de 
seguranca suave. Essa descri¢aéo foi usada pela primeira vez por dois pesquisadores da Bell Labs, 
Steve Bellovin e Steven Cheswick. Eles descreveram essa segurancga como "uma concha dura que se 
esmigalha com um nucleo macio como chiclete" — como um confeito. A concha externa, o firewall, 
argumentavam Bellovin e Cheswick. nao representa protecao suficiente, porque apd6s um invasor 
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SEGURANCA SUAVE (Candy Security) Um termo criado por Bellovin e Cheswick da 
Bell Labs para descrever um cenario de seguranca no qual o perimetro externo (tal 
como um firewall) é forte, mas a infra-estrutura é fraca. O termo refere-se ao confeito, 
que tem uma casca externa dura e um centro mole. 


conseguir contorna-la, os sistemas internos de computadores tém a seguranca macia e mastigavel. Na 
maior parte do tempo eles tem uma protecao inadequada. 


Esta histéria coincide com a definigcao. Com um numero de discagem e uma conta, o atacante 
nem precisava tentar passar pelo firewall da Internet e, depois que ele estava 14 dentro, podia facil- 
mente comprometer a maior parte dos sistemas da rede interna. 


Segundo as minhas fontes, acho que um golpe semelhante foi dado em um dos maiores fabrican- 
tes de software para computadores do mundo. Vocé acharia que os administradores dessa empresa es- 
tariam treinados para detectar esse tipo de golpe? Mas de acordo com a minha experiéncia, ninguém 
esta completamente seguro quando um engenheiro social é bastante inteligente e persuasivo. 


SEGURANCA SPEAKEASY 


Nos velhos tempos do speakeasy — naqueles nightclubs da era da Lei Seca, onde acontecia 0 co- 
mércio ilegal de bebida alcoélica —, um provavel cliente era admitido batendo a porta. Apos alguns 
minutos, a porta se abria e um rosto forte e intimidador aparecia. Se o visitante era conhecido, ele 
podia falar o nome de algum patrono freqiientador do lugar ("Joe me mandou" era o suficiente) e o 
grandalhao 14 dentro destrancava a porta e permitia a sua entrada. 


O verdadeiro truque estava em saber a localizagao do speakeasy porque a porta nao tinha pla- 
cas, € OS proprietarios néo penduravam sinais de néon para marcar a sua presencga. Na maior parte 
dos casos, bastava aparecer no lugar certo para entrar. Infelizmente, 0 mesmo grau de salvaguarda 
e aplicado amplamente no mundo corporativo e fornece um nivel de desproteg¢éo que eu chamo de 
seguranca speakeasy. 


Eu vi isso no cinema 


Aqui esta um exemplo de um filme meu preferido que muitas pessoas devem lembrar. No filme Os Trés 
Dias do Condor, 0 personagem central, Turner (interpretado por Robert Redford), trabalha em uma 
pequena empresa de pesquisa contratada pela CIA. Um dia ele volta do almogo e descobre que todos os 


SEGURANCA SPEAKEASY A seguranca que depende do conhecimento do lugar onde 
estao as informacoes desejadas e do uso de uma palavra ou nome para acessar aquelas 
informagoes ou um sistema de computador, 
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seus colegas foram assassinados. Ele esta sozinho para descobrir quem fez isso e por qué. Todo o tem- 
po ele sabia que os assassinos, independentemente de quem eles fossem, estavam procurando por ele. 

Mais tarde Turner consegue o nimero de telefone de um dos bandidos. Mas quem é essa pessoa. 
e como Turner pdde descobrir a sua localizagao? Ele tem sorte. O autor do roteiro, David Rayfiel, deu 
a Turner uma experiéncia que incluia 0 treinamento como técnico em telefonia no Exército, 0 que lhe 
dava o conhecimento das técnicas e praticas da empresa de telefonia. Com o nimero do telefone do 
assassino em m4os, Turner sabia exatamente o que fazer. No filme a cena é esta: 


TURNER DESLIGA E DISCA NOVAMENTE PARA OUTRO NUMERO. TRIM! 
TRIM! Em seguida: 


VOZ DE MULHER (FILTRO) 
CNA. Sra. Coleman. 
TURNER (no aparelho de leste) 


Aqui é Harold Thomas, Sra. Coleman. Servi¢o ao Cliente. CNA de 202-555-7389, por 
favor. 


VOZ DE MULHER (FILTRO) 

Um momento, por favor. 

(quase ao mesmo tempo) 

Leonard Atwood, 765 MacKensie Lane, Chevy Chase, Maryland. 


Ignorando o fato de que o roteirista usou por engano um cédigo de area de Washington. D.C. para 
um enderego em Maryland, vocé ja pode adivinhar 0 que aconteceu, nao é? 


Devido ao seu treinamento como técnico em telefonia, Turner sabia para qual numero deveria 
discar para falar com um escrit6rio da empresa chamado CNA, o escrit6rio de Nome e Endereco de 
Clientes. O CNA foi montado para a conveniéncia dos instaladores e de outro pessoal autorizado pela 
empresa de telefonia. Um instalador pode ligar para o CNA e dar um nimero de telefone. O funciona- 
rio do CNA responde fornecendo 0 nome da pessoa a qual pertence o telefone daquele endereco. 


Enganando a empresa de telefonia 


No mundo real. o nimero de telefone do CNA é um segredo guardado a sete chaves. Embora as 
empresas de telefonia finalmente tenham aprendido e hoje em dia s4o0 menos generosas na divulga- 
cao facil dessas informacgées, na época elas eram operadas com base em uma variacao da seguran¢a 
speakeasy, a qual é chamada pelos especialistas de seguranga da informa¢ao de seguranca através 
da obscuridade. Elas presumiam que os todos que ligassem para o CNA e conhecessem a linguagem 


A SEGURANGCA ATRAVES DA OBSCURIDADE Um meétodo eficaz de seguranca de 
computadores que mantém em segredo os detalhes de como funciona o sistema (pro- 
tocolos, algoritmos e sistemas internos). A seguranca através da obscuridade baseia-se 
na falsa suposicao de que ninguém que esteja fora de um grupo de pessoas de confian- 
¢a podera enganar o sistema. 
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apropriada ("Servico ao cliente. CNA de 555-1234, por favor", por exemplo) eram pessoas autoriza- 
das a terem as informaco6es. 


Recado do 
Mitnick 
A segurang¢a através da obscuridade nao tem nenhum efeito para bloquear os ataques 
da engenharia social. Todo sistema de computadores do mundo tem pelo menos um 


ser humano que o usa. Assim sendo, se o atacante puder manipular as pessoas que 
usam os sistemas, a obscuridade do sistema é irrelevante. 


Nao ha necessidade de verificar ou identificar a si mesmo, nem dar um numero de empregado, 
tampouco mudar uma senha diariamente. Se souber 0 nimero para o qual ligar e parecer auténtico, 
entao tera direito as informacoes. 


Essa nao era uma suposicao muito sdlida por parte da empresa de telefonia. O seu unico esforco 
de seguranga era alterar o numero do telefone periodicamente (pelo menos uma vez por ano). Mesmo 
assim, 0 nimero atual em determinado momento era amplamente conhecido entre os phreakers, os 
quais adoravam aproveitar essa conveniente fonte de informag6es e compartilhar os métodos de como 
fazer isso com seus colegas. O truque do CNA foi uma das primeiras coisas que aprendi quando fui 
apresentado ao hobby dos trotes de telefone ainda na adolescéncia. 


Em todo o mundo dos negécios e no governo, a seguranca speakeasy ainda prevalece. E provavel 
que um invasor qualquer com algumas habilidades se faca passar por uma pessoa autorizada unindo 
informagées suficientes sobre os departamentos, as pessoas e a linguagem da sua empresa. As vezes 
menos do que isso é necessario: as vezes um nimero interno de telefone basta. 


O GERENTE DE COMPUTADORES DESCUIDADO 


Embora muitos empregados das organizagdes sejam negligentes, despreocupados ou nao tenham 
conhecimento dos perigos para a seguranga, vocé espera que alguém no cargo de gerente do centro de 
computadores de uma corporagao da Fortune 500 tenha conhecimento completo sobre as melhores 
praticas de seguranga, certo? 


Vocé nao esperaria que um gerente do centro de computadores — alguém que faz parte do De- 
partamento de Tecnologia da Informacgao da sua empresa — fosse vitima de um jogo de trapacga da 
engenharia social simplista e 6bvio. Particularmente nao se o engenheiro social é pouco mais do que 
uma crian¢a, mal saindo da adolescéncia. Mas as vezes as suas expectativas podem estar erradas. 


Sintonizando 


Ha anos um passatempo divertido para muitas pessoas era manter o radio sintonizado na freqiiéncia 
da policia ou do corpo de bombeiros local para eventualmente ouvir as conversag6es sobre um roubo 
de banco em andamento, um prédio de escrit6rios em chamas ou uma cacada em alta velocidade a 
medida que o evento se desenrolava. As freqiiéncias de radio usadas pelos departamentos de policia 
e pelos bombeiros nao estavam disponiveis em livros na livraria da esquina; hoje em dia eles sao 
fornecidos em listagens da Web e em um livro que vocé compra na Radio Shack — as freqiiéncias da 
policia municipal, estadual e, em alguns casos, da federal. 
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Obviamente, nao apenas os curiosos ouviam. Os ladrdes que roubavam uma loja no meio da noite 
podiam sintonizar e ouvir se um carro de policia estava sendo enviado para o local. Os traficantes de 
drogas podiam verificar as atividades dos agentes da Delegacia de Narcéticos local. Um incendiario 
podia aumentar o seu prazer doentio acendendo uma chama e ouvindo todo o trafego pelo radio en- 
quanto os bombeiros lutavam para apagar o incéndio. 


Nos ultimos anos, 0 desenvolvimento da tecnologia dos computadores possibilitou a criptografia 
das mensagens por voz. A medida que os engenheiros encontravam maneiras de colocar cada vez mais 
poder de computacao em um tinico microchip, eles comegaram a criar pequenos radios criptografados 
para os departamentos de policia, os quais evitavam que os bandidos e os curiosos ouvissem. 


Danny, o hacker benigno 


Um hacker entusiasmado e habilidoso que chamaremos de Danny resolveu descobrir um modo 
de colocar as maos em um software de criptografia supersecreto — 0 cddigo-fonte — de um dos 
principais fabricantes de sistemas de radio de seguranga. Ele esperava que um estudo do cédigo o 
ensinasse como enganar a policia e talvez também pudesse usar a tecnologia para que até mesmo os 
departamentos do governo mais poderosos tivessem dificuldades em monitorar as suas conversas 
com seus amigos. 


Os dannys do mundo sombrio dos hackers pertencem a uma categoria especial que se classifica 
em algum lugar entre os meramente curiosos, mas totalmente inofensivos, e os perigosos. Os dannys 
tém o conhecimento do especialista, combinado ao desejo maligno do hacker de invadir os sistemas 
e as redes pelo desafio intelectual e pelo prazer de descobrir como a tecnologia (funciona. Mas as suas 
acrobacias eletrénicas de invasao nao passam disso — acrobacias. Esse pessoal, esses hackers benig- 
nos, entram ilegalmente nos sites simplesmente pela diversdo e pelo prazer de provar que eles podem 
fazer isso. Eles naéo roubam nada, nao ganham dinheiro com suas exploragdes. Nao destroem nenhum 
arquivo, nao interrompem as conex6es de rede nem paralisam nenhum sistema de computadores. O 
simples fato de eles estarem 14 pegando cépias de arquivos e pesquisando as mensagens de correio 
eletr6nico em busca das senhas e de fazer isso pelas costas da seguranga e dos administradores de rede 
torce os narizes das pessoas que sao responsaveis por afastar os intrusos como eles. Grande parte da 
satisfagao esta no fato de fazerem isso sozinhos. 


Fiel ao seu perfil, o nosso Danny queria examinar os detalhes do produto mais guardado da sua 
empresa-alvo s6 para satisfazer a sua propria curiosidade e admirar as inovacdes que o fabricante 
estava para lancar. 


Nem é preciso dizer que os projetos de produto eram segredos comerciais cuidadosamente guar- 
dados, tao preciosos e protegidos quanto qualquer outra coisa que a empresa possuia. Danny sabia 
disso. E nao ligava nem um pouco. Afinal de contas, essa era apenas uma empresa grande e sem 
nome. 


Mas como obter o cédigo-fonte do software? Acontece que se apoderar das jéias da coroa do 
Grupo de Comunicagées Seguras da empresa acabou sendo uma coisa muito facil, muito embora a 
empresa fosse uma daquelas que usavam a autenticacdo de dois fatores, um método no qual as pes- 
soas devem usar nao um, mas dois identificadores separados para provar suas identidades. 


Este é um exemplo que talvez vocé j4 conhece. Quando chega a renovac¢ao do seu cartao de crédi- 
to, vocé tem de ligar para a administradora para informar que 0 cartao esta nas maos do cliente certo, e 
nao nas maos de alguém que roubou o envelope do correio. As instrugdes que vém com 0 cartao hoje 
em dia geralmente dizem para vocé ligar de casa. Quando vocé liga, o software da administradora do 
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AUTENTICAGAO DE DOIS FATORES 0 uso de dois tipos diferentes de autenticacao 
para verificar a identidade. Por exemplo, uma pessoa pode ter de identificar a si mesma 
ligando de uma determinada localizagao identificavel e sabendo uma senha. 


cartao analisa a ANJ, a identificagéo de numero automatica, a qual é fornecida pelo atendimento das 
ligagdes que sao pagas pela empresa do cartao de crédito. 


Um computador da administradora do cartaéo usa 0 numero do cliente que esta ligando fornecido 
pela ANI e compara esse numero com o banco de dados de titulares de cartao da empresa. Quando o 
operador entra na linha, a sua tela exibe as informacoes do banco de dados com os detalhes do cliente. 
Assim sendo, 0 operador ja sabe que a ligacao esta sendo feita da casa de um cliente e essa é uma 
forma de autenticac¢ao. 


O operador escolhe um item nas informagoes exibidas sobre vocé — quase sempre 0 numero 
do seguro social, a data de nascimento ou o nome de solteira da mae — e pede que vocé repita essas 
informagées. Se vocé fornecer a resposta certa, essa é uma segunda forma de autenticagéo — com 
base nas informa¢Oes que vocé deve saber. 


Na empresa que fabrica os sistemas de radio de seguranga da nossa historia, cada empregado que 
tem acesso ao computador tinha o seu nome normal de conta e a sua senha. Entretanto, além disso. 
ele recebia um pequeno dispositivo eletr6nico chamado ID Seguro projetado em tecnologias one-time 
password. Isso é aquilo que é chamado de token baseado em tempo. Esses dispositivos sao de dois 
tipos: um tem cerca de metade do tamanho de um cartao de crédito, mas um pouco mais fino; 0 outro 
é€ pequeno o bastante para que as pessoas possam coloca-lo em seus chaveiros. 


Tirado do mundo da criptografia, esse dispositivo em particular tem uma pequena janela que exibe 
uma série de seis digitos. Acada 60 segundos, 0 video muda e mostra um numero de seis digitos dife- 
rente. Quando uma pessoa autorizada precisa de acesso externo a rede, ela primeiro precisa se identifi- 
car como um usuario autorizado digitando o seu cédigo secreto e os digitos exibidos no seu dispositivo. 
Apos a verificagao do sistema interno, ela é autenticada com o seu nome de conta e senha. 


Para 0 jovem hacker Danny chegar até o cédigo-fonte que tanto cobicava, ele teria nado apenas de 
fornecer 0 nome de conta e a senha de algum empregado (um desafio néo muito grande para o expe- 
riente engenheiro social), mas também teria de contornar o problema do token baseado em tempo. 


Burlar a autenticacgao de dois fatores de um token baseado em tempo combinado a um céddigo 
de identificagao secreta do usuario parece um desafio tirado do filme Missdo Impossivel. Mas para 
os engenheiros sociais, o desafio é semelhante aquele enfrentado por um jogador de pdquer que tem 
uma habilidade além do normal para fazer uma leitura dos seus oponentes. Com um pouco de sorte, 
quando se senta em uma mesa, ele sabe que vai sair dali com uma pilha grande de dinheiro alheio. 


A investida contra o forte 


Danny comecou fazendo a licaéo de casa. Em pouco tempo ele havia conseguido juntar informacées 
suficientes para se fazer passar por um verdadeiro empregado. Ele tinha um nome de empregado, 
o departamento, o numero do telefone e 0 numero do empregado, bem como o nome e telefone do 
gerente. 
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Agora era a calmaria antes da tempestade. Literalmente. Seguindo o plano que havia estabele- 
cido, Danny precisava de mais uma coisa antes da proxima etapa, e isso era algo sobre o qual nao 
tinha nenhum controle: ele precisava de uma tempestade de neve. Danny precisava de um pouco de 
ajuda de Sao Pedro na forma de um tempo tao ruim que os empregados nao conseguiriam chegar ao 
escritorio. 


No inverno de Dakota do Sul, onde esta localizada a fabrica em questao, todos que esperavam 
mau tempo nao tinham de esperar muito. Na sexta-feira a noite, a tempestade chegou. Aquilo que co- 
mecou como neve rapidamente se transformou em chuva congelante, e de manha as estradas estavam 
cobertas de uma camada grossa e perigosa de gelo. Para Danny essa era a oportunidade perfeita. 


Ele ligou para a fabrica, pediu para falar com a sala de computadores e falou com uma das abe- 
lhas operarias de TI, um operador de computador que se apresentou como Roger Kowalski. 

Dando 0 nome do empregado real que havia obtido, Danny disse: "Aqui é Bob Billings. Traba- 
Iho no Grupo de Comunicag6ées Seguras. Estou em casa e nao posso chegar ao trabalho por causa da 
tempestade. E 0 problema é que preciso acessar a minha esta¢ao de trabalho e 0 meu servidor daqui 
de casa e deixei o meu ID Seguro na minha mesa. Vocé pode procura-lo para mim? Ou alguém pode 
fazer isso? E, depois, vocé pode ler 0 meu cédigo quando eu precisar dele? A minha equipe tem um 
prazo critico e nao ha como eu terminar o trabalho. E nao ha como chegar ao escritério — as estradas 
estao muito perigosas por aqui." 


O operador do computador respondeu: "N4@o posso sair do Centro de Computadores." 
Danny respondeu rapidamente: "Vocé tem um ID Seguro?" 


"Ha um aqui no Centro de Computadores", ele disse. "NOs 0 reservamos para os operadores em 
caso de emergéncia." 


"Ouca", disse Danny. "Vocé pode me fazer um grande favor? Quando eu precisar discar para a 
rede, vocé pode me emprestar o seu ID Seguro? S6 até que seja seguro dirigir até ai". 


"Quem e vocé mesmo?", Kowalski perguntou. 
"Bob Billings." 

"Para quem vocé trabalha?" 

"Para Ed Trenton." 

"Ah, sim. Eu 0 conheco." 


Quando ha chances de enfrentar condigdes muito desfavoraveis, um bom engenheiro social faz 
mais do que a pesquisa normal. "Estou no segundo andar", continuou Danny. "Perto do Roy Tucker." 


O operador também conhecia aquele nome. Danny voltou a trabalhar com ele. "Seria muito mais 
facil se vocé fosse até a minha mesa e conseguisse 0 ID Seguro para mim." 


Danny tinha certeza de que 0 rapaz nao entraria nessa. Antes de mais nada, ele nao ia querer sair 
no meio do seu turno, percorrer corredores, subir escadas para chegar até algum lugar distante do 
prédio. Ele também nfo ia querer colocar as maos na mesa de outra pessoa, violando 0 espaco pessoal 
de alguém. Nao, com quase toda a certeza ele nao 1a querer fazer isso. 


Kowalski nao queria dizer nao para um colega de trabalho que precisava de ajuda, mas também 
nao queria dizer sim e ter problemas. Assim sendo, passou a decisao para outro: "Terei de falar com o 
meu chefe. Aguarde um pouco." Ele colocou o telefone na mesa e Danny o ouviu pegar outro telefo- 
ne. fazer a ligacdo e explicara solicitagao. Em seguida, Kowalski fez algo inexplicavel: ele endossou 
a hist6ria do homem que usava 0 nome de Bob Billings. "Eu 0 conhego", ele disse ao gerente. "Ele 
trabalha com Ed Trenton. Podemos deixa-lo usar o ID Seguro do Centro de Computadores?" Danny, 
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segurando o telefone, ficou surpreso ao ouvir esse apoio extraordinario e inesperado a sua causa. Ele 
nao acreditava no que estava ouvindo ou em sua sorte. 


Apo6s alguns momentos, Kowalski voltou ao telefone: "O meu gerente quer falar com vocé." 
Deu-lhe o nome do homem e o numero do seu celular. 


Danny ligou para o gerente e contou toda a historia de novo, incluindo detalhes sobre o projeto 
no qual estava trabalhando e 0 motivo pelo qual a sua equipe de produto precisava cumprir um prazo 
critico. "Seria mais facil se alguém fosse 14 e pegasse 0 meu cartao", ele reafirmou. "Acho que a mesa 
nado esta trancada e o cartaéo deve estar na minha gaveta esquerda superior." 


"Bem", entabulou o gerente, "s6 pelo final de semana, acho que podemos deix4-lo usar 0 cartao do 
Centro de Computadores. Vou falar para quem estiver de servigco que quando vocé ligar, eles devem ler o 
cédigo de acesso aleatorio para vocé". Ele Ihe deu o numero de identificagao a ser usado com 0 cartao. 


Durante todo o final de semana, sempre que Danny queria entrar no sistema corporativo de com- 
putadores, s6 tinha de ligar para o Centro de Computadores e pedir para eles lerem os seis digitos 
exibidos no token de ID Seguro. 


Um trabalho interno 


Depois de estar dentro do sistema de computadores da empresa, 0 que aconteceu? Como Danny en- 
contraria o servidor que tinha o software que desejava? 


Ele ja estava preparado para isso. 


Muitos usuarios de computadores conhecem os newsgroups, aquele conjunto grande de bulletin 
boards eletr6nicos nos quais as pessoas podem publicar perguntas para que outras pessoas respon- 
dam, ou podem encontrar companheiros virtuais que compartilham do interesse em musica, compu- 
tadores ou em centenas de outros assuntos. 


O que poucas pessoas sabem quando postam uma mensagem em um site de newsgroup é que elas 
permanecem on-line e disponiveis por anos a fio. O Google, por exemplo, j4 mantém um arquivo de 
700 milhdes de mensagens, sendo que algumas delas datam de 20 anos atras! Danny comecou a entrar 


no endereco na Web http://groups.google.com. 


Como termos da pesquisa Danny inseriu "criptografia de comunicac6oes por radio" e o nome da 
empresa e encontrou uma mensagem com alguns anos de idade sobre 0 assunto de um empregado. 
Era uma publicacgao que havia sido feita quando a empresa estava comecando a desenvolver o pro- 
duto, provavelmente muito antes de os departamentos de policia e dos 6rgaos federais pensarem em 
misturar os sinais de radio. 


A mensagem contida na assinatura do remetente dava nao apenas o nome do homem, Scott 
Baker, mas também o numero do seu telefone e até mesmo 0 nome do seu grupo de trabalho, o Grupo 
de Comunicacoes Seguras. 


Danny pegou o telefone e discou o nimero. Ja fazia muito tempo — sera que ele ainda estava 
trabalhando na mesma organizacao anos depois? Ele estaria trabalhando em um final de semana com 
aquela tempestade? O telefone tocou uma, duas, trés vezes e depois Scott atendeu. 


Dizendo ser do Departamento de TI da empresa. Danny convenceu Baker (usando uma das ma- 
neiras que agora vocé ja conhece dos capitulos anteriores) a revelar os nomes dos servidores usados 
para o trabalho de desenvolvimento. Esses eram os servidores nos quais poderia estar o cédigo-fonte 
com o algoritmo de criptografia proprietario e o firmware usados nos produtos de radio de seguran¢a 
da empresa. 


72 A Arte de Enganar 


Danny estava cada vez mais pr6ximo e 0 seu entusiasmo aumentava. Ele estava prevendo a satis- 
facao, a sensacao Otima que ele tinha quando conseguia fazer algo que sabia que apenas um niimero 
limitado de pessoas poderia realizar. 


Mesmo assim, ele ainda nao estava seguro. No restante do final de semana ele poderia entrar na 
rede da empresa sempre que quisesse, gracas aquele prestativo gerente do centro de computadores. E 
sabia quais servidores queria acessar. Mas quando discou, o servidor de terminal ao qual se conectou 
nao permitiu que ele se conectasse aos sistemas de desenvolvimento do Grupo de Comunicagoes 
Seguras. Deveria haver um firewall interno ou um roteador que protegia os sistemas de computadores 
daquele grupo. Ele teria de encontrar algum outro modo de entrar. 


A proxima etapa exigiu sangue frio. Danny ligou de novo para Kowalski no departamento de 
Operacoes de Computador e reclamou: "O meu servidor nao me permite conectar", e disse ao funcio- 
nario de TI: "Preciso configurar uma conta em um dos computadores do seu departamento para poder 
usar a Telnet e me conectar ao meu sistema." 


O gerente j4 havia aprovado a divulgacao do cédigo de acesso exibido no token baseado em 
tempo, de modo que esta nova solicitagao nao parecia exagerada. Kowalski configurou uma conta e 
senha temporaria em um dos computadores do Centro de Operacoes e pediu a Danny: "Ligue de volta 
quando nao precisar mais dela para eu remové-la." 


Apos fazer o login na conta temporaria, Danny conseguiu se conectar a rede dos sistemas de 
computadores do Grupo de Comunicacgées Seguras. Depois de uma hora pesquisando on-line uma 
vulnerabilidade técnica que lhe desse acesso ao servidor principal de desenvolvimento ele conseguiu. 
Aparentemente, 0 sistema ou o administrador da rede nao estavam atentos as iltimas comunicacgoes 
sobre bugs de seguran¢a no sistema operacional que permitia 0 acesso remoto. Mas Danny estava. 


Em pouco tempo ele localizou os arquivos de cédigo-fonte que procurava e os transferiu remota- 
mente para um site de comércio eletrénico que oferecia espaco gratis de armazenamento. Nesse site, 
mesmo que os arquivos fossem descobertos, nao seria possivel rastrear para descobrir quem os enviou. 


Ele tinha de executar uma Ultima etapa antes de se desconectar: 0 processo metdédico de apagar 
suas pegadas. Ele terminou antes do programa de televisao sair do ar naquela noite. Danny calculou 
que esse havia sido um bom trabalho de final de semana. E nao teve de se arriscar pessoalmente. 
Isso fot muito emocionante, melhor ainda do que a adrenalina de praticar snowboarding ou para- 
quedismo. 


Danny ficou bébado aquela noite, nao com scotch, gim, cerveja ou saque, mas no sentido do 
poder e da realizacgdo 4 medida que despejava os arquivos que havia roubado, fechando com a ilusao 
do software de radio secretissimo. 


Analisando a trapaca 


Como na hist6ria anterior, este golpe s6 funcionou porque um empregado da empresa estava disposto 
a aceitar o fato de que um interlocutor era realmente 0 empregado que alegava ser. Por sua vez, essa 
disposicao de ajudar um colega com um problema faz parte daquilo que lubrifica as engrenagens da 
industria, e parte daquilo que torna os empregados de algumas empresas mais agradaveis de trabalhar 
do que os empregados de outras empresas. Mas essa disposi¢ao0 em ajudar pode ser uma grande vul- 
nerabilidade que um engenheiro social tentara explorar. 


Um tipo de truque que Danny usou era delicioso: quando solicitou que alguém pegasse o seu ID 
Seguro na sua mesa, ele pediu que alguém "pegasse" para ele. Pegar 6 uma ordem que vocé da para 
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o seu cachorro. Ninguém quer receber a ordem de pegar alguma coisa. Com aquela Unica palavra, 
Danny garantiu que a solicitagao seria recusada e que alguma outra solucao seria aceita, 0 que era 
exatamente aquilo que desejava. 


O operador do Centro de Computadores, Kowalski, foi convencido pelo fato de Danny falar 
nomes de pessoas que ele conhecia. Mas por que 0 gerente — nada menos do que um gerente de TI 
— permite que um estranho acesse a rede interna da empresa? Simplesmente porque a ligacao pedin- 
do ajuda pode ser uma ferramenta poderosa e persuasiva do arsenal do engenheiro social. 


Recado do 


Esta historia mostra que os tokens baseados em tempo e outras formas semelhantes 
de autenticacao nao sao defesa contra o astuto engenheiro social. A unica defesa é um 
empregado consciente que segue as politicas de seguranca e entende como as outras 
pessoas podem influenciar de modo malicioso o seu comportamento. 


Algo assim poderia acontecer na sua empresa? Isso j4 aconteceu? 


EVITANDO A TRAPACA 


Um elemento que parece se repetir sempre nessas historias é o fato de um atacante conseguir discar 
para uma rede de computadores de fora da empresa, sem que a pessoa que o ajuda tome as devidas 
precaucoes para verificar se ele €é realmente um empregado e pode ter 0 acesso. Por que volto com tanta 
freqiiéncia a esse mesmo tema? Porque esse é um fator importante de tantos ataques da engenharia so- 
cial. Para o engenheiro social, essa e a maneira mais facil de atingir 0 seu objetivo. Por que um atacante 
gastaria horas tentando fazer a invasdo, quando pode fazer isso com uma simples ligacao telefOnica? 


Um dos métodos mais poderosos pelo qual 0 engenheiro social pode executar esse tipo de ataque 
é usar o golpe simples de fingir que precisa de ajuda — uma abordagem muito usada pelos atacantes. 
Vocé nao vai querer fazer com que Os seus empregados parem de cooperar com colegas ou clientes e, 
assim, precisa fornecer-lhes procedimentos de verificagao especificos a serem usados com todos que 
fagam uma solicitagaéo de acesso ao computador ou a informacgoes confidenciais. Dessa forma, eles 
podem ser uteis para aqueles que merecem a ajuda, e ao mesmo tempo podem proteger os ativos de 
informagao da organizacao e os sistemas de computadores. 


Os procedimentos de seguran¢ga da empresa precisam declarar com detalhes 0 tipo de mecanismo 
de verificagao que deve ser usado nas diversas circunstancias. O Capitulo 17 fornece uma lista de 
procedimentos detalhada, mas estas séo algumas orientagdes que devem ser levadas em conta: 


e Uma boa forma de verificar a identidade de uma pessoa que faz uma solicitagao é ligar para 
o numero de telefone relacionado na lista de telefones da empresa para aquela pessoa. Se a 
pessoa que faz a solicitagao for realmente um atacante, a ligacao de verificagao permitira que 
vocé fale com a pessoa verdadeira ao telefone enquanto 0 impostor aguarda na linha, ou per- 
mite que vocé ouga o som da voz da pessoa no voice mail para poder compara-lo com a voz 
do atacante. 


e Se forem usados nimeros de empregados na sua empresa para verificar a identidade, esses 
numeros tém de ser tratados como informag6ées confidenciais, guardados cuidadosamente e 
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nao podem ser dados a estranhos. O mesmo vale para todos os outros tipos de identificadores 
internos, tais como numeros de telefone, identificadores de faturamento de departamentos e 
até mesmo os enderecos de correio eletrénico. 


O treinamento corporativo deve chamar a atencao de todos para a pratica comum de aceitar 
pessoas desconhecidas como empregados legitimos, com base no fato de que eles parecem 
ter autoridade ou conhecimento. S6 porque alguém conhece a pratica de uma empresa ou 
usa a terminologia interna, nao ha motivos para assumir que a sua identidade n4o precisa ser 
verificada de outras maneiras. 


Os encarregados da seguranga e os administradores de sistemas precisam sempre prestar aten- 
¢ao ao modo como iodas as pessoas tém consciéncia da seguran¢a. Eles também precisam ter 
certeza de que eles préprios estao seguindo as mesmas regras, procedimentos e praticas. 


As senhas e outros itens semelhantes, obviamente, nunca devem ser compartilhados, mas a 
restrigao contra o compartilhamento é mais importante ainda no caso dos tokens baseados em 
tempo e em outras formas seguras de autenticacaio. E uma questo de bom senso o fato de que 
o compartilhamento de um desses itens vai contra o motivo pelo qual a empresa instalou os 
sistemas. O compartilhamento significa que nao pode haver responsabilidade. Se um inciden- 
te de seguranga ocorre ou se algo de errado acontece, vocé nao podera determinar quem é o 
responsavel. 


Como reitero neste livro, os empregados precisam estar familiarizados com as estratégias da 
engenharia social e seus métodos para analisar com responsabilidade as solicitagdes recebi- 
das. Considere 0 uso da dramatizacgao como parte do treinamento em seguranga, para que os 
empregados possam entender melhor como o engenheiro social age. 


fr ee ae ae ge ee ee 


Sites Falsos e Anexos Perigosos 


4 um velho ditado que diz que vocé nunca tem nada de graca. Mesmo assim, o golpe de 

oferecer algo de graca continua sendo uma grande jogada de negocios legitimos ("Mas nao 

é s6 isso! Ligue agora mesmo e ganhe um conjunto de facas e uma pipoqueira!") e nao tao 
legitimos ("Compre um acre de pantanos na Fl6érida e ganhe um segundo acre de gra¢a!"). 


E a maioria de nos gosta tanto de ganhar algo de graca que pode se enganar e nao pensar com 
clareza na oferta ou na promessa que esta sendo feita. Conhecemos 0 aviso "cuidado ao comprar", 
mas esta na hora de prestar aten¢4o em outro aviso: cuidado com os anexos que vém nas mensagens 
de correio eletr6nico e com o software gratis. O atacante experiente usa quase que qualquer meio 
para invadir a rede corporativa, incluindo o apelo para o nosso desejo natural de receber um presente 
gratis. Estes sAo alguns exemplos. 


"VOCE GOSTARIA DE GANHAR UM (ESPAGO EM 
BRANCO) GRATIS?" 


Assim com as viroses tém sido uma praga para a humanidade e os médicos desde 0 inicio dos tempos, 
os virus de computadores também representam uma praga para os usuarios da tecnologia. Aqueles 
que chamam mais a atencAo e tém mais projecao, nao por acaso, causam os maiores danos. Eles sao 
O produto dos vandalos dos computadores. 


Como feras dos computadores que se transformaram em malucos maliciosos, esses vandalos 
lutam para mostrar como s4o inteligentes. Eventualmente seus atos s4o como um ritual de iniciacao, 
destinados a impressionar os hackers mais velhos e mais experientes. Essas pessoas sao motivadas 
para criar um worm ou um virus para infligir um dano. Se o seu trabalho destruir arquivos, acabar 
com unidades de disco inteiras e seguir por correio eletr6nico para milhares de pessoas desavisadas, 
os vandalos alardeiam com orgulho sua realizagaéo. Se os virus causarem um caos suficiente para 
aparecerem nos jornais e as noticias da rede avisarem contra eles, melhor ainda. 


Muito foi escrito sobre os vandalos e seus virus. Livros, programas de software e empresas inte1- 
ras surgiram para oferecer protecdao, e nao falaremos aqui das defesas contra seus ataques técnicos. O 
nosso interesse no momento focaliza menos os atos destrutivos do vandalo do que os esfor¢gos mais 
concentrados do seu primo distante: o engenheiro social. 


Chegou no correio eletronico 


Todos os dias vocé recebe mensagens de correio eletr6nico com propaganda ou oferecendo alguma 
coisa de que nao precisa e nao quer. Vocé sabe como é. Eles prometem consultoria de investimentos, 
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descontos em computadores, televisOes, cameras, vitaminas ou viagens, oferecem cartdes de crédito 
de que nao precisa, um dispositivo que permite receber os canais da televiséo paga de graca, manei- 
ras de melhorar a sua satide ou a sua vida sexual e assim por diante. 


Mas de vez em quando uma oferta aparece na sua caixa de correio eletrénico, uma oferta que 
chama a sua atencao. Isso pode ser um jogo de graca, uma oferta de fotos do seu astro preferido, um 
programa de agenda gratis ou um shareware barato que protege o seu computador contra virus. Inde- 
pendente de qual seja a oferta, a mensagem direciona vocé para fazer o download do arquivo com os 
bens que a mensagem o convenceu a experimentar. 


Vocé também pode receber uma mensagem com uma linha de assunto dizendo "Nao perca" ou 
Ana, por que vocé nao escreveu para mim?" ou "Oi, Tim, esta é a foto sexy que eu prometi para 
Al 


vocé". Isso nao pode ser mala direta de propaganda, vocé pensa, porque tem 0 seu nome e parece tao 
pessoal. Assim sendo, abre 0 anexo para ver a foto ou ler a mensagem. 


Todas essas agdes — fazer 0 download de software que vocé conheceu em uma mensagem de 
propaganda, clicar em um link que o leva até um site do qual nunca ouviu falar antes, abrir um anexo 
de alguém que nao conhece — sao convites para problemas. Com certeza, na maior parte do tempo 
aquilo que vocé tem é exatamente aquilo que esperava, ou na pior das hipéteses algo decepcionante 
ou ofensivo, mas inofensivo. Mas, eventualmente, vocé recebe o trabalho de um vandalo. 


O envio de cédigo malicioso para o seu computador é¢ apenas uma pequena parte do ataque. O 
atacante precisa convencé-lo a fazer o download do anexo para que o ataque seja bem-sucedido. 


As formas mais perigosas de cdédigo malicioso — worms com nomes tais como Love Letter, 
SirCam e Anna Kournikova, s6 para mencionar alguns — aproveitam-se das técnicas da engenha- 
ria social que fraudam e exploram o seu desejo de obter algo de graca para se espalharem. O worm chega 
como um anexo de uma mensagem de correio eletr6nico que oferece algo tentador, tal como informa¢g6es 
confidenciais, pornografia gratis ou — um truque mais inteligente — uma mensagem dizendo que 0 ane- 
xo € 0 recibo de algum item caro que vocé deve ter comprado. Este ultimo golpe leva vocé a abrir 0 ane- 
xo com medo de 0 seu cartao de crédito ter sido usado para o débito de um item que nao queria. 


E impressionante 0 numero de pessoas que caem nesses truques; mesmo apos saberem sobre os 
perigos de abrirem anexos de correio eletrénico, a consciéncia do perigo passa com o tempo e nos 
deixa vulnerdaveis. 


Detectando o software malicioso 


Outro tipo de malware -- abreviagao de malicious software — coloca no seu computador um programa 
que opera sem o seu conhecimento ou consentimento ou que executa uma tarefa sem que vocé saiba. 
O malware pode parecer inocente, talvez um documento do Word ou uma apresentacao do PowerPoint, 
ou qualquer programa que tenha a funcionalidade das macros, mas ele instala secretamente um progra- 
ma nao autorizado. Por exemplo, 0 malware pode ser uma versdo do Cavalo de Trdia de que falamos 


Um tipo de programa conhecido no submundo dos computadores como RATou Re- 
mote Access Trojan da ao atacante o acesso total ao seu computador, como se ele 
estivesse sentado no seu teclado! 
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MALWARE Giria para o software malicioso, um programa de computador, tal como 
um virus, um worm ou um Cavalo de Troia, que executa tarefas prejudiciais. 


no Capitulo 6. Apés esse software ser instalado na sua maquina, ele pode transmitir para o atacante 
cada tecla que vocé digita, incluindo todas as suas senhas e numeros de cart6es de crédito. 


Existem outros dois tipos de software malicioso que vocé vai achar chocantes. Um deles pode pas- 
sar para o atacante cada palavra que vocé falar dentro do 4mbito do microfone do seu computador, mes- 
mo quando vocé acha que o microfone esta desligado. Pior ainda, se vocé tiver uma Web cam instalada 
no seu computador, um atacante que use uma variacao dessa técnica pode capturar tudo que ocorre na 
frente do seu terminal, mesmo quando vocé acha que a camera esta desligada, seja dia ou noite. 


Recado do 


Cuidado com os malucos que oferecem presentes, caso contrario a sua empresa pode 
ter a mesma sorte da cidade de Troia. Quando tiver duvidas e para evitar uma infeccao, 
use protecao. 


Um hacker com um senso de humor malicioso pode tentar plantar no seu computador um peque- 
no programa criado para aborrecer. Por exemplo, ele pode fazer com que a sua unidade de CD-ROM 
fique abrindo sem parar, ou que 0 arquivo no qual vocé esta trabalhando seja minimizado. Ou entao, 
ele pode fazer com que um arquivo de Audio reproduza um grito no volume mais alto no meio da 
noite. Nada disso é muito engracgado quando vocé esta tentando dormir ou trabalhar, mas pelo menos 
eles naéo causam nenhum dano duradouro. 


MENSAGEM DE UM AMIGO 


Os cendrios podem ficar ainda piores, apesar das suas precaucdes. Imagine que vocé resolveu nao 
correr riscos. Vocé nao vai mais descarregar nenhum arquivo, exceto de sites seguros que conhece e 
confia, tais como o SecurityFocus.com ou 0 Amazon.com. Vocé nao clica mais nos links de correio 
eletronico de fontes desconhecidas. Vocé nao abre mais os anexos de nenhuma mensagem que nao 
estava esperando. E verifica a sua pagina de browser para ter certeza de que ha um simbolo de site 
seguro em cada site que visita para realizar transagdes de comércio eletr6nico ou para trocar infor- 
macoes confidenciais. 


Entao, um belo dia vocé recebe uma mensagem de correio eletrénico de um amigo ou empresa 
associada que tem um anexo. N§o poderia ser algo malicioso, j4 que vem de alguém que vocé conhe- 
ce, nao é mesmo? Particularmente porque sabe a quem culpar se os dados do seu computador forem 
danificados. 


Vocé abre 0 anexo e... BOOM! Acabou de receber um Cavalo de Troia. Por que alguém que vocé 
conhece faria isso? Porque algumas coisas nao sao 0 que parecem ser. Vocé ja leu sobre isso: 0 worm 
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que entra no computador de alguém e depois envia mensagens de correio eletrénico ele mesmo para 
todas as pessoas do seu catalogo de enderecgos. Cada uma daquelas pessoas recebe uma mensagem 
de correio eletronico de alguém que conhece e confia, e cada uma daquelas mensagens de correio 
eletr6nico de confianc¢a contém o worm, o qual se propaga como as ondas formadas por uma pedra 
jogada em um lago trangiiilo. 


O motivo da eficiéncia dessa técnica é que ela segue a teoria de matar dois coelhos com uma sé 
cajadada. A capacidade de propagar-se para as outras vitimas desavisadas e a aparéncia de que veio 
de uma pessoa de confianga. 


Recado do 
Mitnick 
O homem inventou muitas coisas maravilhosas que mudaram o mundo e a nossa forma 


de viver. Mas para cada bom uso da tecnologia, o computador, o telefone ou a Internet, 
alguem sempre encontra um modo de abusar dessa tecnologia em proveito proprio. 


O triste fato é que no estado atual da tecnologia vocé pode receber uma mensagem de correio 
eletro6nico de alguém préximo e ter de se perguntar se é seguro abri-la. 


VARIAGOES SOBRE UM MESMO TEMA 


Nesta era da Internet, ha um tipo de fraude que envolve o seu redirecionamento para um site Web que 
nao é aquele que vocé esperava. Isso acontece regularmente e assume varias formas. Este exemplo, 
que se baseia em um golpe real executado na Internet, é representativo. 


Feliz Natal... 


Um vendedor de seguros aposentado chamado Edgar recebeu uma mensagem de correio eletr6nico 
certo dia da PayPal, uma empresa que oferece um modo rapido e conveniente de fazer pagamentos 
on-line. Esse tipo de servico é muito util quando uma pessoa de uma parte do pais (ou do mundo) esta 
comprando um item de um individuo que ele nao conhece. A PayPal cobra no cartao de crédito do 
comprador e transfere o dinheiro diretamente para a conta do vendedor. 


Como colecionador de vasos antigos de vidro, Edgar fez muitos negé6cios por meio da empresa 
de leildes on-line eBay. Ele usava a PayPal com freqiiéncia varias vezes por semana. Assim sendo. 
Edgar ficou interessado quando recebeu uma mensagem de correio eletronico nas festas de fim de 
ano de 2001, a qual parecia vir da PayPal e oferecia um prémio pela atualizacao da sua conta com a 
PayPal. A mensagem dizia: 


Boas Festas caro cliente PayPal; 


A medida que o Ano Novo se aproxima e todos nos preparamos para iniciar um novo ano, 
a PayPal gostaria de Ihe dar um crédito de US$ 5 na sua conta! 


Tudo que vocé precisa fazer para receber os seus US$ 5,00 de presente é atualizar as suas 
informacg6es no nosso site seguro Pay Pal até 1° de janeiro de 2002. Um ano traz muitas 
chances, e atualizando as suas informag6es conosco, vocé permitira que continuemos a 
lhe fornecer nosso valioso servigo ao cliente com excelente qualidade e. alem de tudo, vocé 
estara mantendo os nossos registros atualizados! 
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Para atualizar as suas informagdes agora e receber os US$ 5,00 na sua conta da PayPal 
instantaneamente, clique neste link: 


http://www. paypal-secure.com/cgi-bin 

Obrigado por usar a PayPal.com e nos ajudar a crescer e sermos os maiores da nossa 
area! 

Desejando-lhe sinceramente um "Feliz Natal e Ano Novo", 

Equipe da PayPal 


Uma observacao sobre os sites Web de comercio eletronico 


Provavelmente vocé conhece pessoas que nao gostam de comprar coisas on-line, mesmo de 
empresas de nome como Amazon e eBay, ou em sites Web da Old Navy, Target ou Nike. De 
certa forma, eles estao certos em desconfiar. Se o seu browser usa a criptografia de 128 bits. 
que é o padrao atual, as informacdes que envia para qualquer site seguro saem criptografadas 
do seu computador. Esses dados podem ser decriptografados com muito esforco, mas prova- 
velmente isso nao pode ser feito dentro de um prazo razoavel, exceto talvez pela National Se- 
curity Agency (e a NSA, até onde sabemos, nao mostrou nenhum interesse em roubar nimeros 
de cartdes de crédito de cidadaos americanos, nem tenta descobrir quem esta pedindo videos de 
sexo ou lingerie de sex shop). 


Esses arquivos criptografados poderiam ser quebrados por qualquer pessoa que tivesse tem- 
po e recursos. Mas, na verdade, quem seria bobo de ter todo esse trabalho para roubar um numero 
de cartao de crédito, quando muitas empresas de comércio eletroénico cometem o erro de armaze- 
nar todas as informacoes financeiras de seus clientes decriptografadas em seus bancos de dados? 
Pior ainda, diversas empresas de comércio eletronico que usam um determinado banco de dados 
SQL agravam ainda mais esse problema: elas nunca mudaram a senha default do administrador 
de sistema para 0 programa. Quando tiraram o programa da caixa, a senha era "null'' e ainda é 
"null" hoje. Assim sendo, 0 contetido dos bancos de dados esta disponivel para todos na Internet 
que resolvem tentar se conectar ao servidor do banco de dados. Esses sites estao sob ataque o 
tempo todo e as informacées sao roubadas, sem que ninguém lenha culpa. 


Por sua vez. as Mesmas pessoas que nao compram na Internet porque tém medo de ter 
suas informacoes de cart&éo de crédito roubadas nao tém problemas em comprar com aquele 
mesmo cartao de crédito em uma loja de material de construc4o ou pagar o almoco, jantar ou 
drinques com o cartao — mesmo em um bar de uma rua deserta ou no restaurante no qual 
nao levariam suas maes. Os recibos dos cartées de crédito sao roubados desses locais 0 tempo 
todo, ou pescados nas latas de lixo da rua de tras. E todo caixa ou garcom inescrupuloso pode 
anotar as suas informacdes de nome e cartao ou podem usar um dispositivo facilmente dispo- 
nivel na Internet, um dispositivo de varredura, que armazena os dados de qualquer cartao de 
crédito que é passado por ele para recuperacaéo posterior. 


Existem alguns perigos na compra on-line, mas provavelmente ela é mais segura do que 
comprar em uma loja de material de construcao. E as empresas de cartao de crédito oferecem 
a mesma protecao quando vocé usa o seu cart&éo on-line — se alguma taxa fraudulenta for 
cobrada da conta, vocé sé é responsavel pelos primeiros US$ 50,00. 


Assim sendo, na minha opiniao, 0 medo da compra on-line é apenas outra preocupacao 
injustificada. 
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Edgar nao notou nenhum dos sinais conhecidos de que havia algo de errado com o seu correio 
eletronico (por exemplo, o ponto-e-virgula depois da linha de cumprimentos e 0 texto enrolado sobre 
"nosso valioso servico ao cliente com excelente qualidade"). Ele clicou no link, inseriu as informa- 
cdes solicitadas — nome, endereco, numero do telefone e as informagoes do cartéo de crédito — e 
aguardou que o crédito de US$ 5,00 aparecesse na sua préxima fatura do cartao de crédito. Entretanto, 
O que apareceu foi uma lista de taxas pelos itens que nunca comprou. 


Analisando a trapaca 


Edgar foi pego por um golpe comum na Internet. Esse € um golpe que chega de diversas maneiras. 
Uma delas (detalhada no Capitulo 9) envolve uma tela de login falsa criada pelo atacante, a qual é 
idéntica a tela real. A diferenca é que a tela falsa nao da acesso ao sistema de computadores que o 
usuario esta tentando atingir, mas sim passa o seu nome de usuario e a senha para o hacker 


Edgar foi pego em um golpe no qual os bandidos registraram um site Web com o nome "paypal- 
secure.com" — 0 qual parece como se fosse uma pagina segura do site legitimo da PayPal, mas nao 
e. Quando ele inseriu as informagoes naquele site, os atacantes conseguiram 0 que queriam. 


Recado do 


Embora isso nao seja infalivel (e nenhuma seguranca é), sempre que visitar um site 
que solicita informacgoes que vocé considera confidenciais, verifique se a conexao esta 
autenticada e criptografada. E o mais importante, nao clique automaticamente em Sim 
em nenhuma caixa de dialogo que possa indicar uma questao de seguranca, tal como 
um certificado digital invalido, vencido ou revogado. 


VARIACOES SOBRE A VARIAGAO 


Quantas outras maneiras existem de enganar os usuarios de computador para que eles entrem em um 
site Web falso no qual tém de fornecer informagées confidenciais? Nao suponho que alguém tenha 
uma resposta valida e precisa, mas "muitas e muitas" servirao para essa finalidade. 


O elo que falta 


Um truque surge regularmente: 0 envio de uma mensagem de correio eletr6nico que oferece um mo- 
tivo tentador para visitar um site e fornece um link para ir diretamente a ele. SO que o link nao leva 
vocé ao site que acha que esta indo, porque ele na verdade apenas se parece com um link daquele 
site. Este é outro exemplo que na verdade foi usado na Internet envolvendo novamente o mal uso do 
nome da PayPal: 


www.PayPai.com 


Olhando rapidamente, parece que diz PayPal. Mesmo se a vitima notar, ela pode achar que é apenas 
um erro no texto que faz com que o "l" de Pal se parega com um "i". E quem notaria de relance que 
este endereco 


www.PayPai.com 
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msg: Caro usuario da eBay, 


Ficou claro que alguém corrompeu a sua conta na eBay e violou a politica 
abaixo do nosso Contrato de Usuario: 


4. Lances e compra 


Vocé € obrigado a concluir a transagao com o vendedor se comprar um 
item por meio dos nossos formatos fixos de prego ou tiver o lance maior descrito 
abaixo. Se der o maior lance no final de um leilao (atendendo o minimo aplicavel 
Ou os requisitos de reserva) e o seu lance for aceito pelo vendedor, vocé é obri- 
gado a cconcluir a transagao com o vendedor, ou a transagao é proibida por lei ou 
por este Contrato. 


Vocé recebeu este aviso da eBay porque veio ao nosso conhecimento que 
a sua conta corrente causou interrupcoes nos outros membros da eBay e a eBay 
exige a verificagao imediata da sua conta. Por favor, verifique a sua conta, caso 
contrario ela sera desativada. Clique Aqui para Verificar a Sua Conta — http:// 


error ebay.tripod.com 


As marcas designadas sao de propriedade de seus respectivos proprieta- 
rios eBay e o logotipo da eBay sao marcas registradas da eBay Inc. 


Figura 7.1 Um link deste tipo e de outras mensagens de correio eletr6nico deve ser usado com 
cautela. 


usa o numero 1 no lugar da letra L mintscula? Haé um ntmero suficiente de pessoas que aceitam os 
erros de digitagao e outros probleminhas que tornam esse truque cada vez mais usado pelos bandidos 
dos cart6es de crédito. Quando as pessoas entram em um site falso, ele se parece com o site que elas 
esperam ver, e inserem as informacgoes do seu cartaéo de crédito. Para criar um desses golpes, um 
atacante sO precisa registrar o nome do dominio falso, enviar as mensagens de correio eletrénico e 
aguardar que Os trouxas aparecam, prontos para serem enganados. 


Na metade do ano de 2002, recebi uma mensagem de correio eletro6nico aparentemente como par- 
te de uma mala direta que era marcada como sendo da "Ebay @ebay.com". A mensagem é mostrada 
na Figura 7.1. 


As vitimas que clicaram no link foram para uma pagina da Web muito parecida com uma pagina 
da eBay. Na verdade, a pagina era bem feita, com 0 logotipo eBay auténtico e com os links "Browse", 
"Sell" e outros links de navega¢ao, os quais, quando clicados, levavam o visitante ao site real da eBay. 
Havia também um logotipo de seguran¢a no canto direito inferior. Para distrair a vitima experiente, 
oO criador usou até mesmo a criptografia HTML para mascarar o lugar onde iam as informagées for- 
necidas pelo usuario. 


Esse fol um exemplo excelente de um ataque malicioso da engenharia social baseado em compu- 
tador. Mesmo assim, ele ainda tinha varias falhas. 


A mensagem de correio eletrOnico nao estava bem escrita. Em particular, 0 paragrafo que come- 


v4 


cava com "Vocé recebeu este aviso" é confusa e inadequada (a pessoa responsavel por esses boatos 
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Por que as pessoas podem registrar nomes de dominio fraudulentos ou inapropriados? 
Porque na lei atual e na politica on-line todos podem registrar qualquer nome de site 
que ainda nao seja usado. 


As empresas tentam combater esse uso da imitagao de enderecos, mas pen- 
se no que enfrentam. A General Motors processou uma empresa que registrou 
f**kgeneralmotors.com (mas sem os asteriscos) e apontou o URL para o site Web da 
General Motors. A GM perdeu. 


nunca contrata um profissional para editar o texto e os erros sempre aparecem). Da mesma forma, 
alguém que esteja prestando atencgdo suspeita do fato de a eBay pedir as informagdes da PayPal do 
visitante; nao ha motivo para a eBay pedir as informac6ées particulares de um cliente envolvendo uma 
empresa diferente. 


Uma pessoa com conhecimento da Internet provavelmente reconheceria que o hiperlink se co- 
necta nao ao dominio da eBay, mas sim ao tripod.com, que é um servico de hospedagem gratis da 
Web. Essa era uma revelacgao involuntaria de que o correio eletrénico nao era legitimo. Mesmo assim, 
aposto que muitas pessoas inseriram suas informac6es nessa pagina, incluindo um numero de cartao 
de crédito. 


Esteja atento 


Como usuarios individuais da Internet, todos precisamos estar atentos, tomando decis6es conscientes 
ao decidir se devemos inserir informacgées pessoais, senhas, numeros de conta, numeros de identifi- 
cacao e outras informacoes. 


Quantas pessoas vocé conhece que poderiam lhe dizer se uma determinada pagina da Internet 
que estao vendo atende aos requisitos de uma pagina segura? Quantos empregados da sua empresa 
sabem o que devem procurar? Todos que usam a Internet devem saber 0 que é 0 pequeno simbolo 
que quase sempre aparece em algum lugar de uma pagina na Web com a forma de um cadeado. Eles 
devem saber que quando o cadeado esta fechado, o site foi certificado como sendo seguro. Quando o 
cadeado esta aberto ou o seu fcone nao existe, 0 site Web nao é autenticado como genuino, e todas as 
informag6es transmitidas nao estao criptografadas. 


Entretanto, um atacante que consegue comprometer os privilégios administrativos de um compu- 
tador da empresa pode modificar ou corrigir 0 cédigo do sistema operacional para alterar a percepcao 
do usuario daquilo que esta realmente acontecendo. Por exemplo, as instrugdes de programacao no 
software do browser que indicam que o certificado digital de um site Web é invalido podem ser mo- 
dificadas para desviar da verificagaéo. Ou entao, 0 sistema pode ser modificado com algo chamado 
root kit, instalando uma ou mais backdoors no nivel do sistema operacional, que sao mais dificeis de 
serem detectadas. 


Uma conex4o segura autentica o site como genuino e criptografa as informag6es que estéo sendo 
comunicadas, de modo que um atacante nao pode utilizar nenhum dado que seja interceptado. Vocé pode 
confiar em qualquer site Web, mesmo naquele que usa uma conex4o segura? Nao, porque o proprietario 
do site pode nao estar atento para a aplicacao de todas as correc6des de seguran¢a necessarias, nem pode 
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BACKDOOR ' Um ponto de entrada oculto que fornece um caminho secreto para o 
computador de um usuario, 0 qual é desconhecido do usuario. Usado também pelos 
programadores que desenvolvem um programa de software para que possam entrar no 
programa para corrigir problemas. 


estar forgando os usuarios ou administradores a respeitarem as boas praticas de senhas. Assim sendo, 
vocé nao pode assumir que nenhum site com suposta seguranga nao esteja vulnerdvel a um ataque. 


O HTTP (hypertext transfer protocol) seguro ou o SSL (secure sockets layer) fornece um me- 
canismo automatico que usa os certificados digitais néo apenas para criptografar as informa¢des que 
estao sendo enviadas para o site distante, mas também para fornecer a autenticagao (uma garantia de 
que vocé esta se comunicando com o site Web verdadeiro). Entretanto, esse mecanismo de prote¢ao 
nao funciona para os usuarios que nao prestam atencdo se 0 nome do site que é exibido na barra de 
enderecos é, na verdade, 0 endere¢o correto do site que estao tentando acessar 


Outra questao de segurang¢a, a qual é amplamente ignorada, aparece como uma mensagem de avi- 
so que diz algo do tipo "Este site nao é seguro ou o certificado de seguran¢a expirou. Vocé quer entrar 
no site mesmo assim?". Muitos usuarios da Internet nado entendem a mensagem e, quando ela aparece, 
simplesmente clicam em OK ou Sim e continuam com o seu trabalho, sem saber que podem estar em 
areia movedica. Cuidado: em um site Web que nao usa um protocolo seguro, vocé nunca deve inserir 
nenhuma informa¢éo confidencial, tal como o seu endereco ou o numero de telefone, os nimeros do 
cartao de crédito ou do banco, ou qualquer outra coisa que deseja que continue sendo confidencial. 


Thomas Jefferson disse que o preco da liberdade é a "eterna vigilancia". A manutengAo da priva- 
cidade e da segurang¢a em uma sociedade que usa as informa¢gdes como moeda também exige isso. 


Tomando-se especialista em virus 


Uma nota especial sobre o software de virus: é essencial para a intranet corporativa, mas também é 
essencial para cada empregado que usa um computador. Além de terem o software antivirus instalado 
em suas maquinas, os usuarios obviamente precisam ter o netshield ativo (0 que muitas pessoas nao 
gostam porque ele inevitavelmente deixa mais lentas algumas fun¢gdes do computador). 


Com o software antivirus ha outros procedimentos importantes que devem ser lembrados: as 
definigdes de virus devem estar sempre atualizadas. A menos que a sua empresa esteja preparada para 
distribuir o software ou as atualizacgOes pela rede para cada usuario, cada funcionario deve assumir 
a responsabilidade de fazer 0 download do conjunto mais recente de definicgdes de virus por conta 
propria. A minha recomendac¢ao é que todos configurem as opcodes do software de antivirus para que 
as novas definigdes de virus sejam atualizadas automaticamente todos os dias. 


SECURE SOCKETS LAYER’ Um protocolo desenvolvido pela Netscape que fornece a 
autenticacgao para o cliente e o servidor em uma comunicacao segura na Internet. 
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Em termos simples, vocé esta vulneravel, a menos que as definigdes de virus sejam regularmente 
atualizadas. Emesmo assim, vocé ainda nao esta completamente seguro contra os virus ou worms que 
as empresas de software antivirus ainda nao conhecem ou para os quais elas ainda nao publicaram 
uma "vacina”" padrao de detec¢ao. 


Todos os empregados que tém privilégios de acesso remoto de seus laptops ou dos computadores 
domésticos precisam no minimo atualizar o software de virus e um firewall pessoal em suas maqui- 
nas. Um atacante sofisticado olha o quadro geral para buscar 0 elo mais fraco e é nesse ponto que ele 
ataca. Uma responsabilidade corporativa é lembrar regularmente as pessoas que tém computadores 
remotos da necessidades de atualizar os firewalls pessoais e manter o software de virus ativo, porque 
vocé nao pode esperar que os funciondrios, gerentes, vendedores e outros usuarios remotos de um 
departamento de TI lembrem-se sozinhos dos perigos de deixar seus computadores desprotegidos. 


Além dessas providéncias, recomendo o uso dos pacotes menos comuns, mas nao menos im- 
portantes, que protegem contra os ataques dos Cavalos de Tréia, os chamados softwares antiTrojans. 
Quando este livro foi escrito, dois dos melhores programas eram o The Cleaner (www.moosoft.com) 
e o Trojan Defence Suite (www.diamondes.com.au). 


Finalmente, talvez a mais importante mensagem de seguranca para as empresas que nfo exami- 
nam as mensagens de correio eletr6énico perigosas no gateway corporativo seja que tendemos a nos 
esquecer ou negligenciar as coisas que parecem periféricas para fazer 0 nosso trabalho, e os emprega- 
dos precisam ser sempre lembrados de varias maneiras para nao abrir os anexos de correio eletrénico, 
a menos que tenham certeza de que a fonte é uma pessoa ou organizacao em quem eles podem confiar. 
E a administracgao também precisa lembrar os empregados de que devem usar software de virus ativo 
e software antiTrojan, que fornece uma protecao valiosa contra a mensagem de correio eletrénico 
aparentemente confidvel, mas que pode conter uma carga destrutiva. 


See eR Ge eee 


Usando a Simpatia, a Culpa 
e a Intimidacao 


mo discutido no Capitulo 15, um engenheiro social usa a psicologia da influéncia para levar 

o seu alvo a atender a sua solicitagao. Os engenheiros sociais habilidosos sao adeptos do de- 

envolvimento de um truque que estimula emogoes tais como medo, agitacgao ou culpa. Eles 

fazem isso usando os gatilhos psicolégicos — os mecanismos automaticos que levam as pessoas a 
responderem as solicitagdes sem uma andalise cuidadosa das informacgées disponiveis. 


Todos queremos evitar as situac6es dificeis para nds mesmos e para os outros. Com base nesse 
impulso positivo, o atacante pode jogar com a simpatia de uma pessoa, fazer a sua vitima se sentir 
culpada ou usar a intimidagao como uma arma. 


Aqui estao algumas lic6es das taticas mais conhecidas que jogam com as emoc¢oes. 


UMA VISITA AO ESTUDIO 


Vocé j4 observou como uma pessoa pode passar pela seguran¢a na porta de uma festa, de alguma 
reunido particular ou mesmo entrar em um restaurante e passar pela seguranca sem que pecam o seu 
convite ou reserva? 


Mais ou menos da mesma forma, um engenheiro social pode entrar nos lugares que vocé acharia 
nao ser possivel — como mostra esta histéria sobre a indtstria do cinema. 


A ligacao telefonica 


"Escritorio de Ron Hillyard, Dorothy." 


"Dorothy, oi. Meu nome é Kyle Bellamy. Acabei de ser contratado para trabalhar no 
Desenvolvimento de Animagao da equipe de Brian Glassman. Vocés, sem duvida, 
fazem as coisas de modo diferente por aqui." 


Acho que sim. Nunca trabalhei em nenhum outro estudio e nao sei com certeza. Como 
posso ajuda-lo?" 


"Para dizer a verdade, estou me sentindo meio burro. Tenho um autor que vem esta 
tarde para uma sessao e nao sei com quem devo falar para que ele seja atendido. 
O pessoal aqui do escritorio do Brian é€ simpatico, mas odeio incomoda-los 
perguntando como fago isto, como fago aquilo. Como se eu estivesse na escola 
primaria e nao soubesse onde era o banheiro. Vocé me entende, nao?" 


Dorothy riu. 
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"Se vocé quer falar com a Seguranga disque 7 e, em seguida, 6138. Se a Lauren atender, 
diga a ela que Dorothy disse que tomaria conta de vocé." 


"Obrigado, Dorothy. E se nao puder encontrar o banheiro, ligo de novo para vocé!" 


Eles riram da idéia e desligaram. 


A historia de David Harold 


Adoro cinema e quando me mudei para Los Angeles, achei que encontraria todo tipo de pessoa ligada 
ao cinema e que eles me convidariam para festas, me levariam para almogar nos esttdios. Bem, ja es- 
tava 14 ha um ano, estava para fazer 26 anos e 0 mais pr6ximo que cheguei foi um tour pela Universal 
Studios com todo aquele pessoal camarada de Fenix e Cleveland. Assim sendo, finalmente chegamos 
ao ponto que eu imaginava: se eles nao me convidam, eu me convido. E foi isso que fiz. 


Comprei um exemplar do Los Angeles Times e li a coluna de entretenimento durante alguns 
dias, escrevi os nomes de alguns procedimentos dos diferentes estidios. Resolvi tentar atacar um dos 
grandes estuidios primeiro. 


Liguei para a telefonista e pedi para falar com o escrit6rio desse produtor sobre o qual eu lera no 
jornal. A secretaria que atendeu parecia do tipo maternal e achei que tive sorte; se fosse alguma jovem 
que estava 14 apenas esperando ser descoberta, ela provavelmente nao me daria a menor atencéo. 


Mas essa Dorothy parecia alguém que levava para casa um gatinho perdido, alguém que sentia 
pena do rapaz que estava se sentindo um pouco deslocado no emprego novo. Sem duvida, eu havia 
conseguido o modo certo de falar com ela. Nao é todo dia que vocé engana alguém e essa pessoa 
Ihe da mais até do que vocé pediu. Com pena, ela nado apenas me deu 0 nome de uma das pessoas 
da Segurancga, como também disse que eu deveria dizer a ela que a Dorothy queria que ela me 
ajudasse. 


Obviamente eu havia planejado usar 0 nome de Dorothy de qualquer maneira. Isso tornou tudo 
melhor. Lauren abriu as portas imediatamente e nunca se importou em procurar 0 nome que dei no 
banco de dados para saber se ele estava realmente no banco de dados de empregado. 


Quando cheguei ao portao naquela tarde, eles nao apenas tinham o meu nome na lista de visi- 
tantes, como até tinham um lugar no estacionamento para mim. Eu havia almogado tarde e fiquei 
passeando até o final do dia. Até me infiltrei em alguns cendrios e observei como eles faziam os 
filmes. Nao sai antes das 19 horas. Esse foi um dos dias mais incriveis que ja tive. 


Analisando a trapaca 


Todo mundo ja foi empregado novo um dia. Todos temos lembrangas de como foi aquele primeiro 
dia, particularmente quando somos jovens e inexperientes. Assim sendo, quando um empregado novo 
pede ajuda, ele pode esperar que muitas pessoas — principalmente o pessoal do nivel iniciante — se 
lembre de seus proprios sentimentos de "garoto novo na escola" e lhe déem ajuda. O engenheiro so- 
cial sabe disso e entende que pode usar esse fato para jogar com a simpatia de suas vitimas. 


Facilitamos bastante a vida dos estranhos que querem dar um golpe para entrar nas fabricas e 
nos escrit6rios da nossa empresa. Mesmo com guardas nas portas e procedimentos de registro para 
todos que nao sao empregados, qualquer uma das diversas variagOes do golpe usadas nesta historia 
permite que um intruso obtenha um cracha de visitante e entre tranqiiilamente. E se a sua empresa 
exigir que Os visitantes sejam acompanhados? Essa é uma boa regra, mas ela sé é efetiva quando os 
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seus empregados estao conscientes sobre como impedir que alguém sozinho com ou sem cracha entre 
e como questiona-lo. E, em seguida, se as respostas nao forem satisfat6rias, os seus empregados tém 
de estar dispostos a entrar em contato com a seguranga. 


Ao facilitar que estranhos entrem nas suas instalagdes, vocé poe em perigo as informagées con- 
fidenciais da empresa. Na época atual, com a ameaga de ataques terroristas pairando sobre nossa 
sociedade, nao s4o apenas as informag6es que estao em risco. 


"FAGA ISSO AGORA" 


Nem todos que usam as taticas da engenharia social sao engenheiros sociais bem educados. Todos que 
tém um conhecimento interno de determinada empresa podem se tornar perigosos. O risco é maior 
ainda para uma empresa que mantém em seus arquivos e bancos de dados as informagées confiden- 
ciais sobre seus empregados, 0 que, obviamente, é feito pela maioria das empresas. 


Quando os funcionarios nao sao educados ou treinados para reconhecer os ataques da engenharia 
social, pessoas determinadas como a senhora da pr6xima historia podem fazer coisas que os mais 
honestos acham ser impossivel. 


A historia de Doug 


As coisas nao iam tao bem com Linda, e soube assim que conheci Erin que ela era a mulher da minha 
vida. Linda é um pouco... bem nao é que ela seja instavel, mas ela pode extrapolar um pouco quando 
fica aborrecida. 


Disse-lhe com o maximo possivel de delicadeza que ela teria de se mudar e a ajudei a fazer as 
malas e até mesmo deixei que levasse alguns CDs do Queensryche que eram meus. Assim que ela 
saiu, fui a uma loja de ferragens comprar um novo cadeado para colocar na porta da frente e 0 colo- 
quei naquela mesma noite. Na manha seguinte, liguei para a empresa de telefonia e pedi para mudar 
o numero do meu telefone e nao dei permissao para que ele fosse divulgado. 


Isso me deixava livre para procurar Erin. 


A historia de Linda 


De qualquer forma eu ja estava pronta para ir embora. S6 nao havia resolvido quando. Mas ninguém 
gosta de se sentir rejeitado. Assim sendo, tudo era s6 uma questao de "o que eu poderia fazer para que 
ele soubesse que era um idiota?". 


Nao foi preciso muito tempo para descobrir. Tinha de ser outra garota, caso contrario ele nao me 
faria sair correndo daquele jeito. Eu esperaria um pouco e comegaria a ligar para ele tarde da noite. 
Vocé sabe, naquela hora em que a Ultima coisa que eles iriam querer seria um telefone tocando. 


Aguardei até o proximo final de semana e liguei 14 pelas 23 horas do sabado. S6 que ele havia 
mudado o numero do telefone. Eo nimero novo nao estava na lista. Isso s6 mostra o canalha que 
ele era. 


Isso nao era um problema muito grande. Comecei a procurar nos papéis que consegui levar antes 
de sair do meu emprego na empresa de telefonia. E 14 estava ele — eu havia guardado um pedido de 
conserto de uma vez que houve um problema com a linha de telefone na casa do Doug e a listagem 
relacionava 0 cabo e o par do seu telefone. 
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Vocé sabe, é possivel mudar o numero do telefone como quiser, mas ele continua tendo o mesmo 
par de fios de cobre indo da sua casa até a central da empresa de telefonia, a qual é chamada de Escri- 
t6rio Central ou EC. O conjunto de fios de cobre de toda casa e apartamento é identificado por esses 
numeros, Os quais sao chamados de cabo e par. E se vocé souber como a empresa de telefonia faz as 
coisas, 0 que eu Sei, sO € preciso ter 0 cabo e o par para descobrir o numero do telefone. 


Eu tinha uma lista que dava todos os EC da cidade, com seus enderecos e nimeros de telefone. 
Procurei 0 numero do EC do bairro onde eu morava com Doug, o canalha, e liguei, mas naturalmente 
ninguém atendeu. Onde esta o operador quando vocé realmente precisa dele? Em 20 segundos ja 
tinha um plano. Comecei a ligar para os outros EC e finalmente o localizei. Mas ele estava a quildme- 
tros de distancia e talvez de pernas para o ar sem fazer nada. Sabia que ele nao ia querer fazer aquilo 
que eu precisava. Eu estava pronta com o meu plano. 


"Aqui é Linda. Centro de Consertos", disse. "Temos uma emergéncia. O servig¢o em uma unida- 
de de paramédicos parou. Temos um técnico na 4rea tentando restaurar 0 servi¢o, mas néo podemos 
localizar o problema. Precisamos que vocé va até o EC Webster imediatamente para ver se temos 
discagem por tom saindo do escrit6rio central." 


Em seguida, continuei: "Ligo quando vocé chegar 14", porque obviamente nao poderia pedir para 
ele ligar para o Centro de Consertos para falar comigo. Eu sabia que ele nao sairia do conforto do es- 
critorio central para enfrentar o gelo acumulado no seu para-brisa e dirigir aquela hora da noite. Mas 
essaerauma "emergéncia" e ele nao poderia dizer que estava ocupado demais. 


Quando liguei para ele 45 minutos mais tarde, no EC Webster, expliquei para ele verificar 0 cabo 
29 e o par 2481, e ele foi até o quadro, verificou e respondeu: "Sim havia discagem por tom." E claro 
que eu sabia disso. 


Depois acrescentei; "Muito bem, preciso que faga uma VL", uma verificacgao de linha, ou seja, 
pedi que identificasse o numero do telefone. Ele faz isso discando para um ntimero especial que 1é o 
numero do qual ele ligou. Ele nao sabia se esse era um nUmero que nfo estava na lista ou que mudou. 


e fez o que pedi. Pude ouvir o numero sendo anunciado no seu telefone de teste de técnico. Tudo 
funcionou perfeitamente. 


Repliquei: "Bem o problema deve estar na area", como se eu soubesse 0 numero. Agradeci, disse 
que continuariamos trabalhando para descobrir 0 problema e dei boa noite. 


Recado do 
| Mitnick | 


Quando um engenheiro social sabe como as coisas funcionam dentro da empresa-alvo, 
ele pode usar esse conhecimento para desenvolver a confianga junto aos empregados. 
As empresas precisam estar preparadas para os ataques da engenharia social vindos de 
empregados atuais ou ex-empregados, que podem ter um motivo de descontentamen- 
to. As verificagoes de historico podem ser uteis para detectar os candidatos a emprego 
que tenham uma propensao para esse tipo de comportamento. Mas, na maioria dos 
casos, é dificil detectar essas pessoas. A Unica segurancga razoavel nesses casos é im- 
plantar e auditar os procedimentos de verificacao de identidade, incluindo o status de 
emprego da pessoa, antes de divulgar qualquer informacao para qualquer um que nao 
se conheca pessoalmente e, portanto, nao se sabe se ainda esta na empresa. 


Agora chega da hist6ria do Doug e da sua tentativa de se esconder de mim por tras de um numero 
de telefone que nao estava na lista. A diversao s6 estava comecando. 
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Analisando a trapaca 


Ajovem da hist6ria pdde obter as informacgdes que desejava para executar a sua vinganca porque 
tinha o conhecimento interno: os nimeros de telefone, os procedimentos e a linguagem da empresa 
de telefonia. Com isso ela nao apenas pdde descobrir um novo nimero que nao estava na lista, mas 
também pdde fazé-lo no meio de uma noite gelada, enviando um técnico de telefones para procurar 
um numero pela cidade para ela. 


"O SR. BIGG QUER ISSO" 


Uma forma popular e eficaz de intimidagaéo — popular em larga escala porque é muito simples — in- 
fluencia 0 comportamento humano usando a autoridade. 


S6 0 nome do assistente do escrit6rio do CEO ja pode ser valioso. Os detetives particulares e até 
mesmo os head hunters fazem isso 0 tempo todo. Eles ligam para a telefonista e dizem que querem fa- 
lar com o escrit6rio do CEO. Quando a secretaria ou o assistente executivo respondem, dizem que tém 
um documento ou um pacote para o CEO ou, se enviarem um anexo de e-mail, perguntam se eles po- 
deriam imprimi-lo ou entéo perguntam qual é o nimero do fax. E, por falar nisso, qual é 0 seu nome? 


Em seguida, ligam para a proxima pessoa e dizem: "Jeannie do escritorio do Sr. Bigg me disse 
para ligar para vocé e pedir ajuda com alguma coisa." Essa técnica chama-se advocacia administra- 
tiva e geralmente é usada como um método de estabelecer rapidamente a confianga, influenciando o 
alvo para que ele acredite que 0 atacante tem relagdes com alguém que tem autoridade. Um alvo tem 
mais chances de prestar um favor para alguém que conhece alguém que ele conhece. 


Se o atacante tiver acesso a informagoes confidenciais, ele pode usar esse tipo de abordagem 
para gerar e manipular emoco6es Uteis na vitima, tais como o medo de causar problemas para os seus 
superiores. Este € um exemplo tipico. 


A historia de Scott 


"Scott Abrams." 


"Scott, aqui é Christopher Dalbridge. Acabei de falar ao telefone com o Sr. Biggley e ele estava 
muito descontente. Disse que pediu ha dez dias para vocés nos enviarem copias de toda a sua pesquisa 
de penetracgaéo de mercado para analise. E nunca recebemos nada." 

"Pesquisa de penetragao de mercado? Ninguém me disse nada sobre isso." 

"Em qual departamento vocé trabalha?" 

"Somos uma empresa de consultoria contratada e ja estamos atrasados." 

"Ougca, estou indo para uma reuniao agora. Me deixe 0 seu numero de telefone e...”. 


O atacante agora parecia estar frustrado: "E isso 0 que vocé quer que eu diga ao Sr. Biggley?! 
Ouca, ele espera a nossa andlise amanha de manha e temos de trabalhar hoje a noite. Agora, vocé quer 
que eu diga a ele que nao conseguimos porque nao recebemos 0 relatério de vocés ou quer dizer isso 
a ele pessoalmente?" 


Um CEO zangado pode arruinar a sua semana. O alvo provavelmente vai resolver que talvez seja 
melhor ele cuidar disso antes de ir para aquela reuniéo. Novamente, 0 engenheiro social apertou o 
botao certo para receber a resposta que desejava. 
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Analisando a trapaca 


O truque da intimidagaéo mencionando uma autoridade funciona bem se a outra pessoa ocupar um 
nivel relativamente baixo dentro da empresa. O uso do nome de uma pessoa importante nao apenas 
supera a relutancia normal ou a suspeita, mas também torna a pessoa mais disposta a agradar; o 
instinto natural de querer ser Util se multiplica quando vocé acha que a pessoa que esta ajudando é 
importante ou influente, 


O engenheiro social sabe, porém, que, ao executar este truque, é melhor usar 0 nome de alguém 
que tem um nivel mais alto do que o chefe da propria pessoa. E este truque é complicado dentro de 
uma organizacgao pequena: o atacante nao quer que a sua vitima por acaso faca este comentario com 
O vice-presidente de marketing: "Enviei o plano de marketing de produto para aquele consultor que 
vocé pediu para me ligar." Isso pode produzir a resposta: "Que plano de marketing? Que consultor?" 
E isso pode levar a descoberta de que a empresa foi vitima de um truque. 


Recado do 


Mitnick, 


A intimidagao pode criar o medo de ser punido e influenciar as pessoas para que coo- 
perem. Pode tambem criar o medo de uma situagcao embaracosa ou de ser desqualifi- 
cado para a nova promocao. 


As pessoas devem ser treinadas para saber que nao apenas é aceitavel, mas tam- 
bem esperado o desafio a autoridade quando a seguran¢a esta em jogo. O treinamento 
para a seguranga das informacoes deve incluir o ensino de como desafiar a autoridade 
de maneiras amistosas ao cliente, sem danificar os relacionamentos. Alem disso, essa 
expectativa deve receber suporte de cima para baixo. Se um empregado nao tiver apoio 
ao desafiar as pessoas independentemente de seus status, a reacao normal é parar o 
desafio — exatamente o oposto daquilo que vocé quer. 


O QUE A ADMINISTRACAO DO SEGURO SOCIAL 
SABE SOBRE VOCE ? 


Gostamos de achar que os 6rgaos do governo que tém informagées sobre nos mantém essas informacgdes 
muito bem trancadas, longe das pessoas que nao tém uma necessidade verdadeira de conhecé-las. A 
verdade é que até mesmo o governo federal nao esta imune as invasOes, como gostariamos de pensar. 


A ligacao telefonica de May Linn 
Local: Um escritorio regional da Administragao do Seguro Social 
Hora: 10hI8, manha de terga-feira 
"Modulo trés. Aqui € May Linn Wang." 
A voz do outro lado do telefone parecia estar pedindo desculpas e era quase timida. 


"Srta. Wang, aqui é Arthur Arondale do Escritorio do Inspetor Geral. Posso chama-la de 
'May'?" 
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"Aqui é 'May Linn", ela repetiu. 


"Bem, May Linn, temos um funcionario novo aqui que ainda nao tem um computador, 
e agora mesmo ele tem um projeto de prioridade e esta usando 0 meu. Somos do 
governo dos Estados Unidos e eles dizem que nao tém dinheiro no orgamento para 
comprar um computador para ele usar. E agora o meu chefe acha que eu estou me 
atrasando e nao quer ouvir nenhuma desculpa, sabe como é?" 


"Entendo bem o que vocé quer dizer." 


"Vocé pode ajudar com uma consulta rapida ao MCS?", ele perguntou, usando o nome 
do sistema de computadores onde estao armazenadas as informagoes sobre os 
contribuintes. 


"Certamente, do que vocé precisa?" 


"A primeira coisa que preciso fazer € uma alfadent de Joseph Johnson, data de nascimento 
4/7/69". (Alfadent significa pesquisa por ordem alfabética no computador pelo 
nome do contribuinte, o qual também é identificado pela data de nascimento.) 


Apos uma breve pausa, ela perguntou: 


"O que vocé precisa saber?" 


"Qual € 0 seu numero de conta?", ele explicou, usando o atalho interno para o numero 
do seguro social. Elaleu o numero. 


"Muito bem, preciso que vocé faga um numident daquele numero de conta", acrescentou 
o interlocutor. 


Essa era uma solicitagao para que ela lesse os dados basicos do contribuinte, e May Linn 
respondeu dando o local de nascimento do contribuinte, o nome de solteira da mae e o 
nome do pai. O interlocutor ouviu pacientemente enquanto ela também Ihe dava o més e 
ano em que o cartao fora emitido e o distrito no qual fora emitido. 


A seguir ele pediu um DEQY, que é a abreviatura de "consulta detalhada de rendimen- 


tos’. 


Apos a solicitagao do DEQY, ele teve a resposta "Para qual ano?". O interlocutor respondeu 
"Para o ano 2001". 


May Linn continuou: "O valor foi de US$ 190.286 e o pagador foi aJohnson MicroTech." 


"Alguma outra remuneragao?" 
"Nao." 


"Obrigado", ele disse. "Vocé foi muito gentil." 


Em seguida, ele tentou tomar providéncias para ligar para ela sempre que precisasse 
de informacgoes e nao tivesse acesso ao seu computador, usando novamente o truque 
favorito dos engenheiros sociais de sempre tentar estabelecer uma conexao para poder 
voltar a mesma pessoa e evitar 0 aborrecimento de ter de encontrar uma nova vitima 
todas as vezes. 


"Nao na proxima semana", ela salientou, porque ia para Kentucky para o casamento da 
irma. Qualquer outra época ela faria o que fosse possivel. 


Ao desligar o telefone, May Linn sentiu-se bem por ter podido ajudar um pouco um colega 
servidor publico a quem nao davam o devido valor. 
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A historia de Keith Carter 


A julgar pelos filmes e romances policias mais vendidos, um detetive particular tem pouca ética e 
muito conhecimento de como obter as melhores informacoes sobre as pessoas. Eles fazem isso usan- 
do métodos ilegais, enquanto mal conseguem evitar a prisdo. Obviamente, a verdade é que a maioria 
dos detetives particulares tem empresas legitimas. Como muitos deles comecaram a vida profissional 
como Oficiais de justiga, sabem perfeitamente bem o que é e 0 que nao é legal, e a maioria nao se sente 
tentada a cruzar a linha da ilegalidade. 


Entretanto, existem excecdes. Alguns detetives particulares — mais do que alguns, na verdade 
— parecem-se com Os personagens das histérias policiais. Eles s4o conhecidos no meio como infor- 
mantes, um termo educado para as pessoas que estao dispostas a quebrar as regras. Eles sabem que 
podem realizar qualquer tarefa muito mais rapidamente e de modo bem mais facil se tomarem alguns 
atalhos. O fato de esses atalhos serem crimes em potencial, que podem coloca-los atras das grades por 
alguns anos, nao parece deter aqueles mais inescrupulosos. 


Nesse meio tempo, os detetives particulares do primeiro escalao — aqueles que trabalham em um 
escrit6rio bonito em uma parte valorizada da cidade — nao fazem esse tipo de trabalho. Eles apenas 
contratam algum informante para fazer isso para eles. 


O rapaz que chamaremos de Keith Carter era 0 tipo de "olheiro" particular sem ética. 
te ae Se Re Re ee Se 


Ele era um caso tipico de "Onde ele esta escondendo o dinheiro?". Ou também "Onde ela esta 
escondendo o dinheiro?". Eventualmente podia ser uma senhora rica que queria saber onde o seu 
marido havia escondido o seu dinheiro (embora 0 motivo pelo qual uma mulher rica se casa com 
um homem sem dinheiro era um enigma no qual Keith Carter sempre pensava sem nunca encontrar 
uma boa resposta). 


Neste caso, 0 marido cujo nome era Joe Johnson, era quem estava congelando o dinheiro. Ele 
era um homem muito inteligente que havia fundado uma empresa de alta tecnologia com US$ 10 mil 
que emprestara da familia da sua mulher, e havia aumentado o patrim6nio da empresa para US$ 100 
milhdes. De acordo com o advogado do seu divorcio, ele havia escondido seus bens, e 0 advogado 
queria um relat6rio completo. 


Keith calculou que o seu ponto de partida seria a Administracao do Seguro Social, particularmen- 
te os arquivos sobre Johnson, os quais estariam cheios de informacg6es muito Uteis para uma situacao 
como essa. Munido dessas informacoes, Keith poderia fingir ser 0 alvo e ir aos bancos, corretoras e 
instituigdes fora do pais para contar-lhes tudo. 


A sua primeira ligagao foi para o escritorio de um distrito local, usando o mesmo ntimero 0800 
que qualquer pessoa usa e que esta relacionado na lista telef6nica. Quando o atendente respondeu, 
Keith pediu para ser transferido para alguém da secao de Reclamagoes. Outra espera e, em seguida, 
uma voz atendeu. Agora Keith mudou de lado: "Oi", ele comecgou. "Aqui é Gregory Adams, do Es- 
critorio Distrital 329. Ouga, estou tentando acessar um fiscal de reclamagoes que trata de um numero 
de conta que termina com 6363 e 0 numero que tenho é de um aparelho de fax". 


"Aqui é 0 Médulo 2", disse o homem que atendeu. Ele procurou o nimero e o forneceu para 
Keith. 


A seguir, ele ligou para o Médulo 2. Quando May Linn respondeu, ele trocou de chapéu e conti- 
nuou com a rotina de ser do Escritorio do Inspetor Geral e estar com problemas em usar 0 seu com- 
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putador. porque outra pessoa o eslava usando. Ela deu-lhe as informagoes que ele queria e concordou 
em fazer o que fosse possivel quando ele precisasse de ajuda no futuro. 


Analisando a trapaca 


O que torna essa abordagem eficaz é o truque de atrair a simpatia do empregado com a historia de 
outra pessoa que esta usando 0 computador e que o "meu chefe nao esta feliz comigo". As pessoas 
nao mostram suas emocoes no trabalho com freqiiéncia. Quando fazem isso, a tendéncia é derrubar as 
defesas normais de outra pessoa contra os ataques da engenharia social. O truque emocional de "Eu 
estou com problemas, vocé pode me ajudar?" foi tudo do que ele precisou para ganhar o dia. 


Inseguranca Social 


Por incrivel que pareca, a Administracao do Seguro Social postou uma cépia de lodo o seu 
Manual de Operacodes do Programa na Web, cheio de informacoes Uteis para 0 seu pessoal. 
mas que também sao valiosissimas para os engenheiros sociais. Ele contém abreviacoes, jar- 
gao e instrucdes sobre como solicitar aquilo que vocé quer, como descreveu essa hist6ria. 


Vocé quer aprender mais sobre as informacoes internas da Administracao do Seguro So- 
cial? Basta pesquisar no Google ou digitar este endereco no seu browser: http://policy.ssa.gov/ 
poms.nsf/. A menos que a agéncia ja tenha lido esta hist6ria e tenha removido o manual, 
quando estiver lendo este livro, vocé encontrara instrucdes on-line que fornecem informacoes 
detalhadas sobre quais dados um funcionario da ASS pode dar para a comunidade. Em termos 
praticos, essa comunidade inclui todo engenheiro social que possa convencer um funcionario 
da ASS que ele também é um funcionario. 


O atacante nao obteria essas informagdes de um funcionario que atende o publico em geral pelo 
telefone. O tipo de ataque usado por Keith s6 funciona quando a pessoa que recebe a ligacao é alguém 
cujos nimeros de telefone nao estao disponiveis para 0 publico e que, portanto, tem a expectativa de 
que uma pessoa que ligue deve ser alguém de dentro — outro exemplo da seguranga speakeasy. 


Os elementos que ajudaram nesse ataque incluem: 


e Saber o numero do telefone do Modulo. 
e Saber a terminologia que eles usam — numident, alfadent e DEQY. 


e Fingir ser do escritério do Inspetor Geral, 0 qual todo funcionario do governo federal sabe 
que é uma agéncia de investiga¢des do governo com poderes amplos. Isso da ao atacante uma 
aura de autoridade. 


Um ponto interessante: os engenheiros sociais parecem saber como fazer as solicitagdes para 
que quase ninguém pense "Por que vocé esta ligando para mim?" — mesmo quando logicamente 
faria mais sentido se a ligacao tivesse sido encaminhada para outra pessoa em algum departamento 
diferente. Talvez ajudar alguém apenas represente uma quebra na monotonia didria e a vitima da um 
desconto para o fato de a ligacao parecer incomum. 


Finalmente, 0 atacante desse incidente, nao satisfeito em obter as informac6es apenas para 0 caso 
do momento, queria estabelecer um contato que pudesse usar regularmente. Ele também poderia ter 
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usado um truque comum no ataque pela simpatia — "Derrubei café no meu teclado". Isso nao serviria 
aqui. porém, porque um teclado pode ser trocado em um dia. Por esse motivo, ele usou a hist6ria de 
outra pessoa que estava usando o seu computador, 0 que poderia durar semanas. "Sim, achei que ele 
teria 0 seu proprio computador ontem, mas veio um e outro funcionario fez algum tipo de acordo e 
conseguiu ficar com ele. Assim sendo, esse chato ainda esta aqui na minha sala". E assim por diante. 


Coitadinho de mim, preciso de ajuda. E preciso fazer um pouco de charme. 


UMA LIGACAO SIMPLES 


Uma das principais preocupagoes de um atacante é fazer a sua solicitagaéo parecer razodvel — algo 
tipico das solicitagdes que surgem no dia de trabalho da vitima, algo que nao distrai muito a atencao 
da vitima. Assim como acontece com muitas outras coisas na vida. fazer com que uma solicitagao 
pareca l6gica pode ser um desafio hoje, mas amanha isso pode ser muito facil. 


A ligacao de Mary H. 


Data/Hora: segunda-feira, 23 de novembro, 7h49. 
Local: Mauersby & Storch Accounting, Nova York 


Para a maioria das pessoas, o trabalho de contabilidade resume-se a somar numeros e contar fei- 
jOes e & visto como sendo tao agradavel quanto fazer um tratamento de canal. Felizmente, nem 
todos véem o trabalho dessa forma. Mary Harris, por exemplo, achava que o seu trabalho como 
contadora-chefe era muito interessante, e por isso ela era uma das funcionarias mais dedicadas da 
contabilidade da sua empresa. 


Nessa segunda-feira em particular, Mary chegou cedo para comegar logo aquilo que esperava ser 
um longo dia, e ficou surpresa quando o seu telefone tocou. Ela atendeu e deu seu nome. 


"Oi, aqui é Peter Sheppard. Sou da Arbuckle Support, a empresa que faz 0 suporte técnico para 
vocés. Registramos algumas reclamac¢oes no final de semana de pessoas que tiveram problemas com 
os computadores dai. Pensei em resolver isso antes que todos chegassem esta manha para trabalhar. 
Vocé esta tendo algum problema com o seu computador ou com a sua conex4ao de rede?" 


Ela disse que ainda nao. Ligou 0 computador e, durante a inicializacgao, ele explicou o que 
queria fazer. 


Att 


"Gostaria de realizar alguns testes com vocé", ele disse. "Posso ver na minha tela as teclas que 
vocé digita e quero ter certeza de que estao passando pela rede corretamente. Assim sendo, cada vez 
que vocé digitar uma tecla, quero que me diga qual é a tecla para eu ver se a mesma letra ou nimero 
estao aparecendo aqui. OK?" 


Com visdes do pesadelo que seria se 0 seu computador nao funcionasse e do dia frustrante que 
seria nao poder trabalhar, ela ficou mais do que feliz em ter esse homem para ajuda-la. Apés alguns 
instantes, ela retrucou: "Tenho a tela de login e vou digitar o meu ID. Estou digitando agora — M... 
Aue Ris You. Do" 


"Até aqui tudo bem", ele afirmou. "Estou vendo isso aqui. Agora digite a sua senha, mas nao me 
diga qual é. Vocé nunca deve dizer a ninguém qual é a sua senha, nem mesmo ao suporte técnico. Vou 
ver OS aSteriscos aqui — a sua senha esta protegida e nao posso vé-la." Nada disso era verdade, mas 
fazia sentido para Mary. Em seguida, ele continuou: "Me avise quando o seu computador inicializar." 
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Quando ela disse que 0 computador estava funcionando, ele pediu para ela abrir dois aplicativos 
e ela disse que eles haviam iniciado "bem". 


Mary estava aliviada ao ver que tudo parecia estar funcionando normalmente. Peter disse: "Fico 
contente de saber que vocé podera usar 0 seu computador", e continuou: "nds acabamos de instalar 
uma atualizagao que permite que as pessoas mudem suas senhas. Vocé poderia perder mais alguns 
minutos para eu ver se esta tudo funcionando direito?" 


Ela estava agradecida pela ajuda que ele havia dado e concordou prontamente. Peter narrou as 
etapas para abrir 0 aplicativo que permite que um usuario mude as senhas, um elemento-padrao do 
sistema operacional Windows 2000. "Agora insira a sua senha", ele pediu. "Mas lembre-se de nao 
dizé-la em voz alta." 


Quando ela terminou, Peter acrescentou: "S6 para este teste, quando o sistema pedir a nova senha 
digite 'test123'. Em seguida, digite novamente na caixa Verificagao e clique em Enter." 


Ele disse como ela deveria se desconectar do servidor. Pediu para ela aguardar alguns minutos 
antes de se conectar novamente, desta vez tentando fazer o logon com a nova senha. Tudo funcionou 
muito bem, Peter parecia muito satisfeito e fez com que ela mudasse de volta para a senha original ou 
selecionasse uma nova — e mais uma vez avisou para ela nao falar a senha em voz alta. 


"Bem, Mary", Peter finalizou. "Nao encontramos nenhum problema e isso é 6timo. Ouga, se 
surgir algum problema, ligue para nds aqui na Arbuckle. Geralmente trabalho em projetos especiais, 
mas qualquer pessoa que atender pode ajuda-la." Ela agradeceu e eles se despediram. 


A historia de Peter 


A noticia corria sobre Peter — algumas das pessoas da sua comunidade que haviam estudado com 
ele ouviram falar que ele se transformara em um tipo de mago de computador que podia encontrar 
informacgées Uiteis que as outras pessoas nao podiam obter. Quando Alice Conrad pediu-lhe um favor, 
a principio ele se negou. Por que ajudaria? Certa vez, quando ele a convidou para sair, ela recusou. 


Mas a sua recusa em ajudar nao pareceu surpreendé-la. Ela disse que achava que ele nao conse- 
guiria fazer aquilo de qualquer maneira. Isso foi como um desafio, porque ele tinha certeza de que 
poderia. E foi assim que ele concordou em ajuda-la. 


Alice havia recebido uma proposta para realizar um trabalho de consultoria para uma empresa de 
marketing, mas os termos do contrato nao pareciam muito bons. Antes de voltar e pedir melhores con- 
dicg6es, ela queria saber quais eram as condicg6es que os outros consultores tinham em seus contratos. 


Peter conta a historia desta maneira: 
wr ae a ee Mee A 


Eu nao disse a Alice, mas fujo de gente que quer que eu faca algo que elas acham que eu nao 
posso fazer, quando sei que é facil Bem, desta vez nao era exatamente facil. Isso me daria um pouco 
de trabalho. Mas tudo bem. 


Eu podia mostrar para ela como eu era esperto. 


Um pouco depois das 7h30 da manha de segunda-feira liguei para os escrit6rios da empresa de 
marketing e falei com a recepcionista. Contei que era da empresa que cuidava dos planos de pensao 
e precisava falar com alguém da Contabilidade. Perguntei se ela sabia se alguém da Contabilidade ja 
havia chegado. Ela disse: "Eu acho que vi Mary entrar ha alguns minutos, vou tentar transferir." 
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Quando Mary atendeu o telefone, contei a minha histéria sobre os problemas no computador, a 
qual criei para fazer com que ela se sentisse feliz em cooperar. Assim que a ensinei a mudar a senha. 
rapidamente eu fiz o login no sistema com a mesma senha temporaria que pedi para ela usar, testl23. 


E aqui que entra a arte do plano — instalei um pequeno programa que me permitia acessar 0 sis- 
tema de computadores da empresa sempre que desejasse, usando uma senha secreta propria. Depois 
de falar com Mary. a minha primeira etapa foi apagar o controle de auditoria para que ninguém jamais 
soubesse que eu havia estado no sistema. Isso foi facil. Apés elevar meus privilégios de sistema, pude 
fazer o download de um programa gratis chamado clearlogs que encontrei em um site Web relacio- 
nado com segurangca em www.ntsecurity.nu. 


Agora estava na hora do trabalho de verdade. Fiz uma pesquisa de todos os documentos que ti- 
nham a palavra "contrato" no nome do arquivo e fiz o download dos arquivos. Em seguida, pesquisei 
um pouco mais e descobri 0 melhor — o diret6rio que continha todos os relatérios de pagamentos de 
consultoria. Assim sendo, juntei todos os arquivos de contratos e uma lista dos pagamentos. 


Alice podia olhar os contratos e ver quanto eles estavam pagando para os outros consultores. 
Deixei que ela tivesse o trabalho de procurar em todos aqueles arquivos. Eu ja havia feito 0 que ela 
me pedira. 


Dos discos nos quais gravei os dados, imprimi alguns dos arquivos para mostrar as evidéncias 
para ela. Fiz com que ela me encontrasse para pagar o jantar. Vocé devia ter visto 0 seu rosto quando 
encontrou a pilhas de papéis. "Nao acredito", ela afirmava. "Nao acredito." 


Nao trouxe os discos comigo. Eles eram a isca. Disse que ela teria de ir pega-los, esperando que 
ela talvez quisesse mostrar a sua gratidao pelo favor que havia prestado. 


Recado do 
| Mitnick | 


E incrivel como é facil para um engenheiro social convencer as pessoas a fazerem as 
coisas com base no modo como ele estrutura a solicitacao. A tese é acionar uma res- 
posta automatica com base nos principios psicologicos e utilizar os atalhos mentais 
que as pessoas usam quando percebem que o interlocutor é um aliado. 


Analisando a trapaca 


A ligagao telef6nica de Peter para a empresa de marketing representava a forma mais basica de enge- 
nharia social — uma Unica tentativa que precisou de pouca preparacao, funcionou na primeira vez e 
levou apenas alguns minutos. 


Melhor ainda era 0 fato de que Mary (a vitima) nao tinha motivo para achar que havia caido em 
algum tipo de truque, nenhum motivo para fazer um relat6rio ou fazer alarde. 


O esquema funcionou porque Peter usou trés taticas da engenharia social. Em primeiro lugar, 
ele conseguiu a cooperacao inicial de Mary, gerando o medo — fazendo com que ela pensasse que o 
computador nao poderia ser usado. Em seguida, ele se deu ao trabalho de fazer com que ela abrisse 
dois dos seus aplicativos para que tivesse certeza de que eles estavam funcionando bem, fortalecendo 
assim a confianga entre os dois, ou a idéia de serem aliados. Finalmente, ele conseguiu mais coopera- 
¢Ao para a parte essencial dessa tarefa jogando com a sua gratidao pela ajuda que ele havia fornecido, 
garantindo que o seu computador estava funcionando bem. 
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Dizendo a ela que nunca revelasse a sua senha, nem mesmo para ele, Peter fez um trabalho 
completo e sutil, convencendo-a de que ele estava preocupado com a seguranga dos arquivos da sua 
empresa. Isso aumentou a sua confianga no fato de que ele era verdadeiro, porque estava protegendo 
ela ea empresa. 


A BATIDA DA POLICIA 


Imagine esta cena: 0 governo estava tentando armar uma cilada para um homem chamado Arturo San- 
chez, que vinha distribuindo filmes de gracga pela Internet. Os esttiidios de Hollywood diziam que ele 
violava seus direitos autorais, ele dizia que estava apenas tentando fazé-los reconhecer um mercado 
inevitavel para comecarem a disponibilizar filmes novos para download. Ele destaca (corretamente) 
que essa seria uma fonte enorme de renda para os esttdios, a qual parecem estar ignorando. 


O mandado de busca, por favor 


Certa noite ele chega tarde em casa e vé do outro lado da rua que as luzes do seu apartamento estado 
desligadas, embora sempre deixe uma ligada ao sair. 


Ele bate na porta de um vizinho até que o homem acorda e descobre que houve mesmo uma ba- 
tida policial no prédio. Mas eles fizeram os vizinhos permanecerem nas escadas e ele ainda nao tem 
certeza do apartamento no qual eles estiveram. Ele s6 sabe que eles sairam levando coisas pesadas, 
mas elas estavam embrulhadas e ele nao sabia 0 que eram. E nao levaram ninguém algemado. 


Arturo verifica 0 seu apartamento. A ma noticia é que ha um papel da policia exigindo que ele 
ligue imediatamente e marque uma entrevista dentro de trés dias. Pior ainda é o fato de que nao en- 
controu seus computadores. 


Arturo some na noite e vai para a casa de um amigo. Mas a incerteza o incomoda. Quanto a 
policia sabe? Eles poderiam té-lo pego finalmente, mas teriam dado a ele a chance de ele fugir? Ou é 
alguma outra coisa diferente, algo que ele pode esclarecer sem sair da cidade? 


Antes de continuar lendo, pare e pense um pouco: vocé pode imaginar alguma maneira de des- 
cobrir 0 que a policia quer saber sobre vocé? Supondo que vocé nao tem nenhum contato politico 
ou amigos no departamento de policia ou no gabinete do promotor, sera que ha alguma maneira pela 
qual vocé, um cidadao comum, poderia obter essas informa¢oes? Ou que alguém com habilidades de 
engenheiro social poderia? 


Enganando a policia 


Arturo atendeu a sua necessidade de saber desta maneira: para comecar, conseguiu 0 nimero de tele- 
fone de uma copiadora proxima, ligou para eles e pediu seu nimero de fax. 


Em seguida, ligou para o escritorio do promotor distrital e pediu para falar com Registros. Quan- 
do foi transferido para o escritério de Registros, ele se apresentou como um investigador de Lake 
County e disse que precisava falar com o funcionario que arquiva as acoes de busca ativas. 


"Sou eu", respondeu a senhora. "Ah, 6timo", ele continuou. "Porque demos uma batida na casa 
de um suspeito ontem a noite e estou tentando localizar a declaragao." "Elas sao arquivadas por en- 
dereco", ela explicou. 

Ele deu seu enderego e ela pareceu muito interessada. "Ah, sim", ela disse "Conhego esse. 'O 


golpe do copyright’. 
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Como um engenheiro social conhece os detalhes de tantas operacoes — departamen- 
tos de policia, escritorios de promotoria, praticas da empresa de telefonia, a organi- 
zacao de empresas especificas que estao em areas Uteis para seus ataques, tais como 
telecomunicagoes e computadores? Porque descobrir € 0 seu negocio. Esse conheci- 
mento é€ o bem de um engenheiro social porque as informacoes podem ajuda-lo em 
seus esforcos para enganar. 


"Esse mesmo", ele concordou. "Estou procurando a declara¢gao e uma cépia do mandado." 
"Certo, eles estao bem aqui." 
"Otimo", ele disse. "Oucga, estou fora e tenho uma reuniao com o Servico Secreto sobre esse caso 


em 15 minutos. Tenho estado tao distraido ultimamente, deixei 0 arquivo em casa e nunca vou chegar 
14 e voltar a tempo. Posso usar as suas c6pias?" 


"E claro, sem problemas. Vou fazer as c6pias, vocé pode vir pega-las." 


"Isso € muito bom. Mas oug¢a, estou no outro lado da cidade. Vocé poderia me enviar as cépias 
por fax?" 


Isso criava um pequeno problema, mas ele podia ser contornado. "Nao lemos um fax aqui em 
Registros", ela retrucou. "Mas eles tem um na Secretaria e talvez me deixem usa-lo." 


Ele disse: "Eu vou ligar para 14 e verificar isso." 


A senhora da Secretaria disse que poderia cuidar disso, mas queria saber "Quem iria pagar". Ela 
precisava de um cdédigo contabil. 


"Vou conseguir 0 cédigo e ligo de volta", ele disse a ela. 


Em seguida, ele ligou para o escritério do promotor novamente, identificou-se como um policial 
e simplesmente perguntou a recepcionista: "Qual e 0 cédigo contabil do escritério do promotor?" Ela 
respondeu sem hesitar. 


A ligacgao de volta para o escritério da Secretaria para fornecer 0 nimero contabil deu-lhe a 
desculpa para se aproveitar um pouco mais da situa¢gao: ele convenceu a senhora a subir as escadas e 
pegar as c6pias dos documentos a serem enviados por fax. 


Cobrindo os rastros 


Arturo ainda tinha umas etapas a serem cumpridas. Sempre havia a possibilidade de que alguém 
achasse algo estranho, e ele poderia chegar na copiadora e encontrar alguns detetives 4 paisana e 
tentando parecer ocupados até que alguém aparecesse pedindo um determinado fax. Ele aguardou um 
pouco e, em seguida, ligou novamente para o escritério da Secretaria para verificar se a senhora havia 
enviado o fax. Até aqui tudo bem. 


Ele ligou para outra copiadora da mesma cadeia cio outro lado da cidade e disse como ele estava 
"satisfeito com o modo como eles realizavam o trabalho e queria escrever uma carta cumprimentan- 
do o gerente, qual era o seu nome?". Com essa informac¢éo essencial, ligou para a primeira loja da 
copiadora novamente e pediu para falar com o gerente. Quando o homem atendeu, Arturo explicou: 
"Oi, aqui é Edward da loja 628 em Hartfield. A minha gerente Anna pediu para eu ligar para vocé. 
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Temos um cliente que esta aborrecido — alguém lhe deu o numero do fax da loja errada. Ele esta aqui 
aguardando um fax importante, s6 que 0 nimero que ele tem é da sua loja." O gerente prometeu pedir 
para localizarem o fax e o enviou para a loja de Hartfield imediatamente. 


Arturo j4 estava esperando na segunda loja quando o fax chegou 14. Apoés pega-lo, ligou nova- 
mente para o escrit6rio da Secretaria para agradecer a senhora e disse: "Nao é preciso levar essas 
cépias para cima, vocé pode simplesmente joga-las fora agora". Em seguida, ligou para o gerente da 
primeira loja e disse para ele também jogar fora a sua copia do fax. Dessa forma, nao haveria nenhum 
registro do que ocorreu, apenas para o caso de alguém mais tarde vier fazer perguntas. Os engenheiros 
sociais sabem que cuidado nunca é demais. 


Dessa forma, Arturo nao leve nem de pagar taxas na primeira copiadora pelo recebimento do fax 
nem 0 seu envio para a segunda loja. E se a policia aparecesse na primeira loja, Arturo ja teria o seu 
fax e estaria longe quando conseguissem enviar alguém para a segunda localiza¢ao. 


O final da hist6ria: a declaragdéo e o mandado mostravam que a policia tinha evidencias bem 
documentadas das atividades de cépia de filmes de Arturo. Era isso 0 que ele precisava saber. A meia- 
noite j4 havia cruzado a fronteira do estado. Arturo estava a caminho de uma vida nova, em algum 
outro lugar, com uma nova identidade, pronto para recomecar sua campanha. 


Analisando a trapaca 


As pessoas que trabalham nos escrit6rios de promotoria distritais estao sempre em contato com poli- 
clais — respondendo perguntas, tomando providéncias, anotando recados. Qualquer pessoa que tenha 
sangue frio suficiente para ligar e alegar ser um policial, representante do delegado ou outra coisa 
tem credibilidade. A menos que fique 6bvio que a pessoa nao conhece a terminologia, que ela esta 
nervosa ou que nao pareca autentica de alguma outra maneira, ela nem devera apresentar provas de 
sua identidade. Foi exatamente isso que aconteceu aqui, com dois funcionarios diferentes. 


Recado do 
Mitnick 


A verdade é que ninguém esta imune contra ser enganado por um bom engenheiro 
social. Devido ao ritmo da vida normal, nem sempre pensamos com cuidado antes de 
tomarmos as decisOes, mesmo em questoes que sao importantes para nos. As situa- 
¢oes complicadas, a falta de tempo, o estado emocional ou a fadiga mental podem 
facilmente nos distrair. Assim sendo, tomamos um atalho mental e resolvemos sem 
analisar cuidadosamente as informacgoes, um processo mental conhecido como respos- 
ta automatica. Isso é valido até para os agentes da lei dos governos federal, estadual e 
municipal. Somos humanos. 


A obtencgao de um cdédigo de cobranga necessario foi resolvida com uma Unica ligacao telef6ni- 
ca. Em seguida, Arturo usou o truque da simpatia com a hist6ria sobre "uma reuniaéo com o Servico 
Secreto em 15 minutos, tenho andado distraido e deixei 0 arquivo em casa". Naturalmente ela sentiu 
pena dele e fez o que podia para ajudar. 


Em seguida, usando nao uma, mas duas copiadoras, Arturo garantiu a seguran¢a quando foi pe- 
gar o fax. Uma variacao disso que torna mais dificil ainda rastrear o fax: em vez de mandar enviar o 
documento para outra copiadora, o atacante pode dar aquilo que parece ser um numero de fax, mas 
que na verdade é um endereco de um servico de Internet gratis que recebe um fax de graga e 0 enca- 
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minha automaticamente para o seu endereco de correio eletrénico. Dessa forma ele pode ser aberto 
diretamente no computador do atacante, e ele nao precisa mostrar o rosto em um lugar onde mais 
tarde pode ser identificado. E 0 enderego de correio eletr6nico e o nimero do fax eletrénico podem 
ser abandonados assim que a missao tenha sido completada. 


VIRANDO A MESA 


Um jovem que chamarei de Michael Parker era uma daquelas pessoas que descobrem um pouco tarde 
demais que os empregos com os melhores salarios em sua maior parte v4o para as pessoas com grau 
superior. Ele teve a chance de freqiientar uma faculdade local com bolsa parcial, além de emprésti- 
mos educacionais, mas isso significa trabalhar a noite e nos finais de semana para pagar o aluguel, a 
comida, a gasolina e 0 seguro do carro. Michael, que sempre gostava de encontrar atalhos, pensou que 
talvez houvesse outra maneira, uma que 0 recompensasse mais rapidamente e com menos esfor¢o. 
Como vinha aprendendo sobre computadores desde a época em que comecou a jogar, com a idade de 
dez anos, e se tornou fascinado em descobrir como eles funcionavam, ele resolveu saber se poderia 
"criar" sua propria formatura acelerada em ciéncia da computa¢ao. 


Formando-se — sem louvor 


Ele poderia ter invadido os sistemas de computadores da universidade estadual, encontrado o histérico 
de alguém que havia se formado com um B+ ou A médio, copiado o histérico, colocado seu proprio 
nome e incluido esse histérico nos registros da classe que se formava naquele ano. Pensando nisso, ele 
se sentia meio desconfortavel com a idéia e percebeu que deveria haver outros hist6ricos de um aluno 
que estivesse no campus — registros de pagamento de mensalidades, o escrit6rio dos alojamentos e 
quem sabe mais o qué. A simples criacao do histérico dos cursos e notas deixaria muitos buracos. 


Pensando mais um pouco, ocorreu-lhe que poderia atingir seu objetivo vendo se a escola tinha 
um formando com mesmo nome que o seu, que havia se formado em ciéncia da computacao em 
algum momento durante um periodo apropriado de anos. Se encontrasse esse aluno, ele poderia colo- 
car o nimero do seguro social do outro Michael Parker nos formuldrios pedindo emprego; qualquer 
empresa que verificasse 0 nome e o numero do seguro social junto a universidade saberia que, sim, 
ele tinha o diploma que dizia ter. (Nao era muito 6bvio para a maioria das pessoas, mas era 6bvio 
para ele que poderia colocar um numero de seguro social no formulario de emprego e, em seguida, 
se fosse contratado, colocaria 0 seu proprio numero nos formularios de empregado novo. A maioria 
das empresas nem pensa em verificar se um novo contratado usou um numero diferente no inicio do 
processo de contrata¢ao). 


Conectando-se com problemas 


Como encontrar um Michael Parker nos registros da universidade? Ele abordou esse problema desta 
maneira: 


Ele foi 4 biblioteca principal do campus da universidade, sentou-se em um terminal de computa- 
dor, entrou na Internet e acessou o site Web da universidade. Em seguida, ligou para a secretaria. Com 
a pessoa que atendeu, usou uma das rotinas agora conhecidas da engenharia social: "Estou falando do 
Centro de Computadores, estamos fazendo algumas mudangas na configuracao da rede e queremos 
ter certeza de que nao vamos atrapalhar o seu acesso. A qual servidor vocé esta conectado?" 
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TERMINAL BURRO Um terminal que nao contém seu proprio microprocessador. Os ter- 
minais burros so aceitam comandos simples e exibem caracteres de texto e numeros. 


"Como assim 'servidor'?", a pessoa perguntou. 


"A qual computador vocé se conecta quando precisa pesquisar informa¢gdes académicas de 
alunos?" 


A resposta foi admin.mu.edu e deu-lhe 0 nome do computador no qual os registros dos alunos 
estavam armazenados. Essa foi a primeira pega do quebra-cabega: agora ele sabia qual era a sua ma- 
quina-alvo. 


Digitou aquele URL no computador e nao obteve resposta — como era de esperar, havia um 
firewall bloqueando o acesso. Assim sendo, executou um programa para saber se poderia se conectar 
a algum dos servicos que sao executados naquele computador, e descobriu uma porta aberta com um 
servico Telnet em execu¢ao, 0 qual permite que um computador se conecte remotamente a outro e o 
acesse como se fosse conectado diretamente usando um terminal burro. Ele agora s6 precisava ter 
acesso ao ID de usuario padrdao e a senha. 


Ele fez outra ligacao para a secretaria, desta vez ouvindo com cuidado para ter certeza de que 
estava falando com uma pessoa diferente. Ele foi atendido por uma senhora e novamente disse ser 
do Centro de Computadores da universidade. Contou que estavam instalando um novo sistema de 
produg¢ao para os registros administrativos. Como um favor, ele gostaria que ela se conectasse ao 
sistema novo, ainda no modo de teste, para saber se ela conseguiria acessar os registros académicos 
dos alunos. Ele deu a ela 0 endereco IP para a conex4o e a orientou nesse processo. 


Na verdade, o endereco IP levou até 0 computador no qual Michael estava sentado na biblioteca 

do campus. Usando 0 mesmo processo descrito neste capitulo, ele havia criado um simulador de login 
--- uma tela simulada de login — que se parecia com aquela que ela estava acostumada a ver quando 
entrava no sistema para acessar os registros dos alunos. "N@o esta funcionando", ela lamentou. "Ele 


fica dizendo 'Login incorreto’. 


Nesse ponto o simulador de login havia passado as teclas digitadas com o seu nome de conta 
e senha para o terminal de Michael. Missao cumprida. Ele explicou a ela: "Ah, algumas das contas 
ainda nao foram trazidas para esta maquina. Vou configurar a sua conta e ligo de volta." Tomando o 
cuidado de nao deixar pontas soltas, como todo engenheiro social eficiente deve fazer, ele ligou mais 
tarde para dizer que o sistema de testes ainda nao estava funcionando corretamente e, se ela permitis- 
se, ele ou outro funcionario do Centro de Computadores ligaria para ela quando tivesse descoberto o 
que estava causando o problema. 


O administrador prestativo 


Agora Michael sabia de qual sistema de computadores precisava acessar e tinha um ID e uma senha 
de usuario. Mas quais comandos ele precisaria para pesquisar Os arquivos com as informagées sobre 
um formando em ciéncia da computa¢cao com 0 nome e a data de formatura certos? O banco de dados 
de alunos seria proprietario, criado no campus para atender aos requisitos especificos da universidade 
e da secretaria e teria uma forma exclusiva de ser acessado. 
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A primeira etapa para eliminar esse ultimo empecilho seria descobrir quem poderia orienta-lo 
nos mistérios da pesquisa do banco de dados de alunos. Ligou novamente para a secretaria, desta 
vez falando com uma pessoa diferente. Contou que era da Diretoria de Engenharia e perguntou: 

Com quem podemos obter ajuda quando temos problemas para acessar os arquivos académicos 
dos alunos?" 


Minutos mais tarde ele estava ao telefone com o administrador do banco de dados da facul- 
dade empregando o golpe da simpatia: "Meu nome é Mark Sellers, do escritério do Secretario. 
Sou novo aqui. Desculpe estar ligando para vocé, mas eles estao todos em uma reuniao esta tarde 
e nao ha ninguém aqui para me ajudar. Preciso recuperar uma lista de todos os formandos em 
ciéncia da computacao entre 1990 e 2000. Eles precisam disso até o final do dia e se eu n@o tiver 
a lista talvez nao tenha este emprego por muito tempo. Vocé estaria disposto a ajudar um rapaz 
com problemas?" Ajudar as pessoas era algo que fazia parte do trabalho desse administrador de 
banco de dados, portanto, ele teve muita paciéncia ao falar com Michael e explicar 0 passo a 
passo do processo. 


Quando desligaram, Michael tinha feito o download de toda a lista dos formandos em ciéncia da 
computa¢ao para aqueles anos. Em alguns minutos executou uma pesquisa, localizou dois Michael 
Parkers, escolheu um deles e obteve o nimero do seguro social da vitima, bem como outras informa- 
¢Oes pertinentes que estavam armazenadas no banco de dados. 


Ele havia acabado de se tornar "Michael Parker, bacharel em Ciéncia da Computacao, formado 
com louvor em 1998". 


Analisando a trapaca 


Esse ataque usou um truque do qual ja falei antes: o atacante pedindo ao administrador de banco de 
dados de uma organizacao para orienta-lo nas etapas para a execucéo de um processo de computador 
que ele nao sabia como executar. Uma virada poderosa e efetiva de mesa. equivalente a pedir ao dono 
de uma loja para ajuda-lo a transportar uma caixa contendo itens que vocé acabou de roubar das pra- 
teleiras e coloca-la no seu carro. 


Recado do 


Os usuarios de computadores as vezes nao tém a menor pista das ameacas e vulne- 
rabilidades associadas a engenharia social que existem no mundo da tecnologia. Eles 
tém acesso as informacoes, mas nao tém o conhecimento detalhado daquilo que pode 
ser uma ameagca a seguranca. Um engenheiro social visa um empregado que tem pouca 
compreensao de como sao valiosas as informacgoes que ele pode dar e, assim, fornecé- 
los a um estranho. 


EVITANDO A TRAPACA 


A simpatia, a culpa e a intimidacao sao trés gatilhos psicologicos muito conhecidos usados pelo en- 
genheiro social, e essas hist6rias demonstraram as taticas em acgdao. Mas o que vocé e a sua empresa 
podem fazer para evitar esses tipos de ataques? 
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Protegendo os dados 


Algumas das historias deste capitulo enfatizam o perigo de enviar um arquivo para alguém que vocé 
nao conhece, mesmo quando aquela pessoa é (ou parece ser) um empregado e 0 arquivo esta sendo 
enviado internamente para um endereco de correio eletr6nico ou maquina de fax dentro da empresa. 


A politica de seguran¢a da empresa precisa ser muito especifica quanto as salvaguardas para pro- 
teger dados valiosos contra alguém que nao seja conhecido pessoalmente como o remetente. Proce- 
dimentos exatos precisam ser estabelecidos para a transferéncia de arquivos que contém informac6ées 
confidenciais. Quando a solicitagéo vem de alguém que nao se conhece pessoalmente, deve haver 
etapas claras para a verificacaéo, com niveis diferentes de autenticagao, dependendo do quanto essas 
informagdes sejam confidenciais. 


Estas sao algumas técnicas a serem levadas em conta: 


e Estabelecer a necessidade de saber (a qual pode exigir a obten¢ao da autorizacgao do proprie- 
tario designado das informag6es). 


e Manter um registro pessoal ou departamental dessas transacoes. 


e Manter uma lista das pessoas que foram treinadas especialmente nos procedimentos e que 
tém poderes para autorizar 0 envio das informacoes confidenciais. Exigir que apenas essas 
pessoas possam enviar as informagoes para alguém fora do grupo de trabalho. 


e Se uma solicitagao de dados for feita por escrito (e-mail, fax ou correio convencional), tomar 
cuidados adicionais para verificar se a solicitagao realmente veio da pessoa da qual ela parece 
ter vindo. 


Sobre as senhas 


Todos os empregados que podem acessar informac¢Oes confidenciais — e hoje isso significa quase 
todo empregado que usa um computador — precisam entender que atos simples, como trocar de 
senha, mesmo por alguns momentos, podem levar a grandes quebras da seguran¢a. 


O treinamento em seguranga precisa abordar 0 tdpico das senhas, que deve se concentrar em quan- 
do e como alterar a sua senha, 0 que constitui uma senha aceitavel e os perigos de deixar que qualquer 
pessoa se envolva no processo. Particularmente, o treinamento precisa veicular para todos os emprega- 
dos a necessidade de eles suspeitarem de qualquer solicitagao que envolva suas senhas. 


A principio isso parece ser uma mensagem simples para os empregados. Mas ela nao é. Para que 
compreendam bem essa idéia é preciso que os empregados entendam como um ato de mudar uma se- 
nha pode levar a um comprometimento da seguranga. Vocé pode dizer a uma criang¢a para "olhar para 
os dois lados da rua ao atravessar", mas até ela entender porque isso é importante, vocé s6 depende da 
obediéncia cega. E as regras que exigem a obediéncia cega em geral sao ignoradas ou esquecidas. 


As senhas sao um foco tao importante dos ataques da engenharia social que dedica- 
mos uma secao separada no Capitulo 16 a elas. La vocé encontrara as politicas especi- 
ficas recomendadas para o gerenciamento das senhas. 
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Um ponto central de apoio 


A sua politica de seguranca deve estabelecer uma pessoa ou um grupo designado como um ponto 
central ao qual devem ser relatadas as atividades suspeitas que parecem ser tentativas de infiltracao 
na sua organizacao. Todos os empregados precisam saber para quem devem ligar quando suspei- 
tarem de uma tentativa de invasao eletroénica ou fisica. O numero de telefone desse local sempre 
deve estar 4 mao para que os funcionarios nao tenham de procurar quando suspeitarem de que um 
ataque esta ocorrendo. 


Proteja a sua rede 


Os empregados precisam entender que 0 nome de um servidor ou rede de computadores nao é uma 
informa¢aéo comum, mas sim uma informa¢4éo que pode dar a um atacante o conhecimento essencial 
que o ajuda a ganhar a confian¢a ou encontrar a localizacgao das informagées que ele deseja. 


Em particular, pessoas tais como os administradores de banco de dados, que trabalham com soft- 
ware, pertencem aquela categoria de pessoas que tém especializacao técnica e que precisam operar 
sob determinadas regras especiais e bastante restritivas sobre a verificagao da identidade das pessoas 
que ligam para elas para obter informacgées ou consultoria. 


As pessoas que fornecem regularmente qualquer tipo de ajuda com computadores precisam estar 
bem treinadas sobre os tipos de solicitagdes que devem levantar suspeitas e sugerir que o interlocutor 
pode estar tentando realizar um ataque de engenharia social. 


Vale a pena notar, porém, que, sob a perspectiva do administrador de banco de dados da Ultima 
hist6ria deste capitulo, o interlocutor atendia aos critérios de ser um usuario legitimo: ele estava li- 
gando do campus e obviamente estava em um site que requeria um nome de conta e uma senha. Isso 
s6 deixa claro mais uma vez a importancia de ter procedimentos padronizados para a verificacao da 
identidade de alguém que solicita informagées, sobretudo em um caso como esse, no qual o interlo- 
cutor estava pedindo ajuda para obter acesso a registros confidenciais. 


Tudo isso vale em dobro para faculdades e universidades. Nao € novidade que o hacking de com- 
putadores é 0 passatempo preferido de muitos alunos da faculdade e também nao deve ser surpresa 
que os registros dos alunos — e eventualmente os registros da faculdade também —- sejam um alvo 
tentador. Esse abuso é tao disseminado que algumas corpora¢gOes consideram os campi como um 
ambiente hostil e criam regras de firewall que bloqueiam o acesso das instituigdes educacionais que 
tém enderecos terminados em .edu. 


O resultado disso tudo é que todos os registros de alunos e de pessoal de qualquer tipo devem 
ser vistos como alvos priméarios para um ataque, e devem ser bem protegidos como informac6es 
confidenciais. 


Dicas de treinamento 


A maioria dos ataques da engenharia social tem uma defesa ridiculamente facil... para todos aqueles 
que sabem o que procurar. 


Sob a perspectiva corporativa, o bom treinamento é fundamental. Mas também ha a necessidade 
de algo mais: varias formas de lembrar as pessoas sobre aquilo que aprenderam. 


Use telas chamativas que aparecem quando o computador do usuario é ligado, com uma men- 
sagem de seguranc¢a diferente a cada dia. A mensagem deve ser criada para que nao desapareca 
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automaticamente, e deve exigir que 0 usuario clique em algum tipo de confirma¢ao de que ele leua 
mensagem. 


Outra abordagem que recomendo é iniciar uma série de lembretes de seguranca. Os lembretes 
freqiientes sAo importantes. E preciso que haja um programa constante de conscientizacgao. Os lem- 
bretes nao devem ser escritos sempre da mesma forma. Estudos tém mostrado que essas mensagens 


sao recebidas com mais eficiéncia quando a sua redacao varia ou quando diferentes exemplos sao 
usados. 


Uma abordagem excelente é usar antincios curtos nos newletteres da empresa. Esses anuncios 
nao devem ser um artigo completo sobre 0 assunto, embora a coluna de segurancga certamente seja 
valiosa. Em vez disso, crie um campo com duas ou trés colunas de largura, algo como um pequeno 


anuncio no seu jornal local. Em cada edi¢ao, apresente um novo lembrete de seguranga nessa forma 
curta para chamar a atencao dos leitores. 


cece oe ee eeeee: 


O Golpe Inverso 


Golpe de Mestre, filme mencionado em outra parte deste livro (e na minha opiniao prova- 

velmente o melhor filme que ja foi feito sobre um golpe), descreve 0 seu enredo de truques 

com detalhes fascinantes. A operacao do golpe no filme é uma descricgao exata de como os 
principais estelionataérios executam o "the wire", um dos trés tipos de golpes chamados de "grandes 
golpes". Se vocé quer saber como uma equipe de profissionais consegue dar um golpe envolvendo 
uma grande soma em dinheiro em uma Unica noite, este é o melhor livro. 


Mas os golpes tradicionais, sem levar em conta seus truques em particular, seguem um padrao. 
As vezes um golpe e dado ao contrario, 0 que é chamado de golpe inverso. Essa é uma inversao inte- 
ressante, na qual o atacante cria uma situacd4o para que a vitima pega ajuda ao atacante, ou um colega 
faz uma solicitagao que é atendida pelo atacante. 


Como isso funciona? Vocé vai descobrir em breve. 


A ARTE DA PERSUASAO AMISTOSA 


Quando uma pessoa de nivel intelectual médio cria 0 cendrio de um ataque de computador, o que geral- 
mente nos vem a mente é a imagem pouco louvavel de um maluco solitario e introvertido, cujo melhor 
amigo é seu computador, e que tem dificuldades para conversar, exceto por meio de mensagens rapidas. 
O engenheiro social, o qual, via de regra, tem habilidades de hacker, também tem habilidades pessoais 
opostas — habilidades bem desenvolvidas para usar e manipular as pessoas que permitem que ele con- 
siga as informagdes de forma que vocé nunca acreditaria que fosse possivel. 


O interlocutor de Angela 


Local: Filial de Valley, Industrial Federal Bank. 
Hora: 11 h27 


Angela Wisnowski atendeu a ligacao telef6nica de um homem que dizia estar para receber uma 
heranga considerdvel e queria informagdes sobre os diferentes tipos de contas de poupanga, 


GOLPE INVERSO Um golpe no qual a pessoa atacada pede ajuda ao atacante. 
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certificados de deposito e outros investimentos que ela pudesse sugerir como seguros, mas com 
rendimentos decentes. Ela explicou que havia diversas opg6es e perguntou se ele nao queria 
aparecer no banco para discutir os detalhes com ela. Ele disse que viajaria assim que o dinheiro 
chegasse e tinha muitas providencias para tomar. Assim sendo, ela comecou sugerindo algumas 
possibilidades e dando os detalhes das taxas de juros, do que acontece se vocé vender um titulo 
antes e assim por diante e, ao mesmo tempo, tentava descobrir quais eram os seus objetivos de 
investimentos. 


Ela parecia estar fazendo algum progresso quando ele afirmou: "Ah, sinto muito, preciso atender 
outra linha. Quando posso terminar a minha conversa com vocé para tomar algumas decisdes? A que 
horas vocé sai para o almoco?" Ela contou que saia as 12h30 e ele disse que tentaria ligar de volta 
antes disso ou no dia seguinte. 


O interlocutor de Louis 


Os principais bancos usam cédigos internos de seguranga que mudam todos os dias. 
Quando alguém de uma filial precisa de informacées de outra filial, ele prova que tem 
autorizagao para obter as informagoes demonstrando que conhece o cédigo do dia. Para 
maior seguranga e flexibilidade, alguns dos principais bancos usam diversos cdédigos 
todos os dias. Nesse local da Costa Oeste que chamarei de Industrial Federal Bank. cada 
empregado encontra todas as manhas uma lista de cinco cédigos para o dia. os quais 
sao identificados com as letras A aE, 


ih dh kh kh ee 


Local: 0 mesmo. 
Hora: 12h48, naquele mesmo dia. 


Louis Halpburn nem imaginava o que iria acontecer quando recebeu uma ligacao naquela 
tarde, uma ligagao como tantas outras que recebia varias vezes por semana. 


"Al6", disse o Interlocutor. "Aqui é Neil Webster. Estou ligando da filial 3182 em Boston. 
Quero falar com Angela Wisnowski. por favor." 


"Ela esta em horario de almoco. Posso ajudar?" 


"Bem, ela deixou uma mensagem pedindo para enviar um fax com algumas informacgoes 
de um dos nossos clientes." 


O interlocutor parecia ter tido um dia ruim. 


"A pessoa que normalmente trata dessas solicitagdes esta doente", ele prosseguiu. 
Tenho uma pilha delas aqui. sao quase 4 da tarde e preciso sair para ir ao médico 
em meia hora." 


A manipulagao — dar todas as raz6es pelas quais a outra pessoa deve sentir pena dele 
— fazia pane datrama. Ele continuou "Nao sei quem recebeu o recado dela pelo telefone, 
mas o numero do fax esta ilegivel. E 213 alguma coisa. Qual é o resto do numero?" 


Louis deu o numero do fax e o interlocutor disse: "Muito bem. obrigado. Antes que eu 
possa enviar este fax. preciso do Cddigo B." 


"Mas foi vocé que me ligou", ele salientou com tanta frieza que o homem de Boston 
entendeu a mensagem. 
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Isso 6 bom, o interlocutor pensou. E bom quando as pessoas nao caem na primeira tenta- 
tiva. Se eles nao resistem um pouco, o trabalho fica facil demais e posso comegar a ficar 
preguicoso. 

Ele disse para Louis: "O problema é que tenho um gerente de filial aqui que ficou parandi- 
co com essa historia de verificar tudo 0 que enviamos. Mas ouga, se vocés nao precisam 
do fax com as informagoes, tudo bem. Nao é preciso verificar." 


"Olhe", comentou Louis, "Angela volta em meia hora mais ou menos. Posso pedir para 
ela ligar para vocé de volta." 


"Vou dizer para ela que nao pude enviar as informacgoes hoje porque vocé nao conseguiu 
identificar essa solicitagao como legitima dando-me o codigo. Se eu nao estiver 
doente amanha, ligo para ela de volta." 


"Tudo bem." 
"A mensagem diz 'Urgente'’. Sem verificagao estou de maos atadas. Vocé diz para ela que 
tentei enviar as informag6es, mas vocé nao pode me dar o cédigo, OK?" 


Louis nao resistiu a pressao. Um suspiro audivel de aborrecimento pdde ser ouvido no 
telefone. 


"Bem", ele disse, "espere um pouco, tenho de ir até 0 meu computador. Qual cddigo 
vocé queria?" 


"O B", afirmou o interlocutor. 
Ele colocou a ligacdo em espera e, em seguida, voltou a linha. "E 3184." 


"Esse nao @€ o codigo certo." 
"Sim é ele — B é€ 3184." 

"Eu nao disse B, disse E." 

"Ah, droga. Espere um pouco." 


Outra pausa enquanto ele olhava novamente os codigos. 


"E 6 9697." 
"9697 — certo. Ja estou enviando o fax, OK?" 


"Esta bem, obrigado." 


O interlocutor de Walter 


"Industrial Federal Bank, Walter." 


"Oi, Walter, aqui € Bob Grabowski da Studio City, filial 38", disse o interlocutor. "Preciso 
que vocé encontre um cartao de assinaturas de uma conta de cliente e o mande por 
fax para mim." 


O cartao de assinaturas tem mais do que apenas a assinatura do cliente. Ele também 
tem informagoes de identificagao, itens conhecidos, tais como 0 numero do seguro 
social, a data de nascimento, 0 nome de solteira da mae e eventualmente até mesmo 
o numero da carteira de motorista. Ele € muito util para um engenheiro social. 


"Tudo bem. Qual € 0 Cdédigo C?" 


"Outro caixa esta usando 0 meu computador agora", explicou o interlocutor. "Mas acabei 
de usaro B eo Ee lembro deles. Me pega um deles." 
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"Muito bem, qual é€ o E?" 
"O E é 9697." 


Alguns minutos depois, Walter enviou por fax o cartao de assinaturas solicitado. 


O interlocutor de Donna Plaice 


"Oi, aqui 6 o Sr. Anselmo." 

"Posso ajudar?" 

"Para qual numero 800 ligo quando quero saber se um deposito ja foi compensado?" 
"O sr. @€ cliente do banco?" 

"Sim, € nao uso esse numero ha algum tempo e nao sei onde o anotei." 

"O numero e 800-555-8600." 

"OK, obrigado." 


A historia de Vince Capelli 


Filho de um policial das ruas de Spokane, Vince sabia desde pequeno que nfo ia passar a sua vida tra- 
balhando como um escravo e arriscando 0 pescogo para ganhar salario minimo. Seus dois principais 
objetivos eram sair de Spokane e abrir um negocio proprio. As piadas dos seus colegas durante toda 
a faculdade s6 0 incentivavam mais — eles achavam hilariante o fato de ele estar tao envolvido em 
comeg¢ar seu préprio negécio, mas nao ter a menor idéia da area na qual queria atuar. 


No fundo Vince sabia que eles estavam certos. A nica coisa que fazia bem era ser apanhador 
no time de beisebol da faculdade. Mas nao era bom o suficiente para conseguir uma bolsa de es- 
tudos, j4 que nao era bom para o beisebol profissional. Assim sendo, em que 4rea iniciaria 0 seu 
negdécio? 

Havia uma coisa da qual os amigos de Vince nunca se deram conta: tudo que um deles tinha 
— fosse um canivete novo, um par de luvas de frio, uma nova namorada sexy —, se Vince admirasse 
essa coisa, em pouco tempo ele a tinha. Ele nao a roubava nem se esgueirava pelas costas de ninguém. 
A pessoa que tinha aquilo que ele queria dava-lhe de livre e espontanea vontade. Nem mesmo Vince 
sabia como fazia isso: ele nao conhecia a si mesmo. As pessoas simplesmente pareciam deixar que 
ele conseguisse 0 que quisesse. 


Vince Capelli era um engenheiro social desde tenra idade, embora nunca tivesse ouvido falar do 
termo. 


Seus amigos pararam de rir quando se formaram na faculdade. Enquanto os outros percorriam 
a cidade procurando empregos onde tinham de dizer "Vocé quer com batata frita?", 0 pai de Vince 
o mandou falar com um velho colega policial que havia deixado a corporagao para iniciar 0 prdprio 
negocio de investiga¢gdes particulares em Sao Francisco. Ele rapidamente reconheceu o talento de 
Vince para o trabalho e o contratou. 


Isso aconteceu ha seis anos. Ele odiava a parte de conseguir os bens das esposas infiéis, a qual 
envolvia horas aborrecidas sentado e observando, mas sentia-se continuamente desafiado quando 
precisava desencavar as informagédes de bens para os advogados que tentavam descobrir se algum 
miseravel era suficientemente rico para valer uma acao. Essas tarefas davam-lhe muitas chances de 
usar a sua esperteza. 
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Uma dessas chances foi quando teve de investigar as contas bancarias de um cara chamado Joe 
Markowitz. Joe teria trabalhado em um negocio duvidoso com um ex-amigo seu. Agora esse amigo 
queria saber se, em caso de um processo. Markowitz teria dinheiro suficiente para devolver pelo me- 
nos parte do seu dinheiro. 


A primeira etapa que Vince teria de executar seria descobrir pelo menos um, mas de preferéncia 
dois cédigos de seguranga do banco naquele dia. Isso parece um desafio quase impossivel: 0 que le- 
varia um empregado de banco a burlar o seu proprio sistema de seguranca? Pergunte a si mesmo — se 
quisesse fazer isso. vocé teria alguma idéia do lugar por onde deveria comecar? 


Para as pessoas como Vince isso é muito facil. 
fe le ee ee ee Se 


As pessoas confiam quando vocé conhece a linguagem interna de seus trabalhos e de suas em- 
presas. Isso € como mostrar que vocé pertence ao seu circulo interno. Isso € como um aperto de mao 
secreto. 


Eu nao precisava de muita coisa para realizar uma tarefa com essa. Definitivamente isso nao e 
como uma cirurgia de cérebro. Eu s6 precisava de um numero de filial. Quando liguei para 0 escrit6rio 
de Beacon Street, em Bufalo, a pessoa que atendeu o telefone parecia ser um caixa. 


"Aqui é Tim Ackerman", eu disse. Qualquer nome servia, ele nao ia anotaro nome mesmo. "Qual 
éo numero da sua filial?" 


"O numero do telefone ou o nimero da filiai?", ele quis saber, 0 que parecia estupido, porque eu 
havia acabado de discar para 0 numero de telefone, nao havia? 


"O numero da filial." 


"3182", ele respondeu. Simples assim. Sem perguntas do tipo "Para que vocé quer saber?" ou 
algo parecido. Porque essas nao sao informacoes confidenciais, elas estaéo escritas em quase todos os 
documentos que se usam. 


Etapa dois, ligar para a filial onde o meu alvo fazia suas transacgdes bancarias, obter o nome de 
um de seus funcionarios e descobrir quando a pessoa estaria em hora de almocgo. Angela. Ela sai as 
12h30. Até aqui tudo bem. 


Etapa trés, ligar de volta para a mesma filial durante 0 horario de almoco de Angela, dizer que estou 
ligando do nimero de filial "tal" em Boston, que Angela precisa que eu envie essas informag6es, e que 
eles me déem o cédigo do dia. Essa é a parte mais complicada. Se eu estivesse fazendo um teste para ser 
um engenheiro social, colocaria algo desse tipo no teste, um lugar onde a vitima comegasse a suspeitar 
—e com bons motivos — e vocé ainda teria de ficar 14 até dobra-la e obter as informacoes necessarias. 
Vocé nao pode fazer isso recitando linhas de um script ou rotina de aprendizado, vocé precisa ler a sua 
vitima, entender 0 seu estado de espirito, engana-la como se engana um peixe dando um pouco de linha 
e puxando, mais um pouco de linha e puxando. Até vocé pega-lo na rede e joga-lo no barco! 


Foi assim que 0 enganei e consegui os cédigos do dia. Uma grande etapa. Na maioria dos ban- 
cos. eles usam apenas um cdédigo e eu estaria a salvo. O Industrial Federal Bank usa cinco cédigos e, 
portanto, ter apenas um entre cinco n4o significa muita coisa. Com dois em cinco, eu teria muito mais 
chances de passar para 0 pré6ximo ato do pequeno drama. Amo essa parte onde digo "Eu nao disse B, 
disse E". Quando funciona, é lindo. E na maior parte do tempo funciona. 


Se eu conseguisse um terceiro seria melhor ainda. Na verdade, conseguiria obter até trés em uma 
unica ligagéo — "B", "D" e "E" sao tao parecidos que vocé pode dizer que eles nao entenderam de 
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novo. Mas vocé precisa estar falando com alguém que seja verdadeiramente lento. E esse homem nao 
era. Assim, fiquei com os dois cédigos. 


Os cédigos do dia seriam o meu trunfo para obter o cartéo de assinaturas. Ligo e o atendente 
pede um codigo. Ele quero C, eeu so tenhoo B eo E. Mas isso nao é 0 fim do mundo. Vocé precisa 
permanecer calmo em um momento como esse, deve parecer confiante, continuar com o plano. Eu o 
enganei com a historia de que "Alguém esta usando 0 meu computador, peca um destes outros". 


Todos somos empregados da mesma empresa, estamos todos nisso juntos, vé se facilita para 
mim, cara — é isso que vocé espera que a vitima esteja pensando em um momento como esse. E ele 
seguiu o script direitinho. Ele aceitou uma das opcées que ofereci, dei a resposta certa, ele enviou o 
fax do cartao de assinaturas. 


Eu ja estava quase 14. Mais uma ligacaéo me deu 0 numero 800 que os clientes usam para 0 servico 
automatizado no qual uma voz eletr6nica 1é as informagdes que vocé pede. Com 0 cartao de assinatu- 
ras, eu tinha todos os nimeros de contas do meu alvo e seus nimeros de identificagao, porque aquele 
banco usava Os cinco primeiros ou os quatro Ultimos digitos do numero do seguro social. De canela 
em punho liguei para o numero 800 e apos alguns minutos apertando botoes, tinha o saldo mais 
recente em todas as quatro contas do individuo, e s6 por medida de seguranga os seus depésitos mais re- 
centes e as retiradas feitas sobre cada um deles. 


Tudo aquilo que o meu cliente havia pedido e mais. Sempre gosto de fornecer um extra para os 
clientes. Isso os mantém felizes. Afinal de contas, sao os negécios repetidos que mantém uma opera- 
cao em funcionamento, certo? 


Analisando a trapaca 


O segredo de todo esse episédio foi a obteng4o dos importantes cédigos do dia, e para fazer isso o 
atacante, Vince, usou diversas técnicas diferentes. 


Ele comecou com um pouco de queda de braco verbal quando Louis relutou em dar-lhe um cédigo. 
Louis estava certo em relutar—os cédigos foram criados para serem usados na direcao oposta. Ele sabia 
que em um fluxo normal de coisas, 0 interlocutor desconhecido comegaria dando-lhe um cédigo de segu- 
ranga. Esse era 0 momento critico para Vince, o gancho do qual dependia todo o sucesso desse esforco. 


Diante das suspeitas de Louis, Vince simplesmente usou a manipulacao, um apelo para a simpatia 
("ir ao médico"), a pressao ("Tenho uma pilha de coisas para fazer e j4 sAo quase quatro horas") ea 
manipulacao ("Diga a ela que vocé nao quis me dar 0 cédigo"). 


De forma inteligente, Vince naio ameacou realmente, ele apenas deixou uma ameaga implicita: 
Sc vocé nao me der 0 cédigo de seguranga, nao vou enviar as informac¢oes de cliente que a sua colega 
precisa e vou dizer a ela que eu queria enviar, mas que vocé nao cooperou. 


Mesmo assim, nao sejamos apressados em culpar Louis. Afinal de contas, a pessoa que estava no 
telefone sabia (ou pelo menos parecia saber) que a colega Angela havia solicitado um fax. O interlo- 
cutor sabia sobre os cddigos de seguranga e sabia que eles eram identificados por letras. Ele disse que 
o seu gerente de filial estava pedindo o cédigo para ter mais seguranca. Isso nao parecia uma razao 
verdadeira para nao dar a ele a verificagao que estava pedindo. 


Louis nao esta sozinho. Os empregados do banco dao os cédigos de seguran¢a para os engenhei- 
ros sociais todos os dias. Isso é incrivel, mas é verdadeiro. 


Ha uma linha indefinida na qual as técnicas de um detetive particular param de ser legais e co- 
mec¢am a ser ilegais. Vince permaneceu legal até obter o nimero da filial. Ele até permaneceu legal 
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quando enganou Louis para lhe dar dois dos cdédigos de seguran¢a do dia. Ele cruzou a linha quando 
obteve via fax as informacgoées confidenciais de um cliente do banco. 


Mas para Vince e seu empregador, esse é um crime de baixo risco. Quando vocé rouba dinheiro 
ou bens. alguém vai notar que eles desapareceram. Quando vocé rouba informag6es, na maior parte 
do tempo ninguém notara porque as informagoes ainda estao em seu poder. 


Recado do 
Mitnick 


Os codigos de segurang¢a verbais sao equivalentes as senhas, pois fornecem um meio 
conveniente e confiavel de proteger os dados. Mas os empregados precisam conhecer 
os truques que os engenheiros sociais usam e devem ser treinados para nao revelar os 
segredos de estado. 


FAZENDO OS DETETIVES DE BOBOS 


Para um detetive particular ou engenheiro social, quase sempre ha ocasides em que seria util ter o 
numero da carteira de motorista de alguém — por exemplo, se vocé quiser assumir a identidade de 
outra pessoa para obter informagoes sobre seus saldos bancarios. 


Além de bater a carteira da pessoa ou espiar sobre seus ombros em um momento oportuno, 
descobrir o nimero da carteira de motorista seria algo pr6ximo do impossivel. Mas para alguém que 
tenha habilidades de engenharia social, mesmo que modestas, isso dificilmente é um desafio. 


Um engenheiro social em particular — Eric Mantini, como vou chama-lo, precisava conseguir 
o numero de carteira de motorista e os numeros de registro de veiculo freqiientemente. Eric calculou 
que nao era preciso aumentar o seu risco e ligar para o Departamento de Transito, passando sempre 
O mesmo golpe quando precisava daquelas informacoes. Ele se perguntava se nao havia um modo de 
simplificar esse processo. 


Provavelmente ninguém jamais havia pensado nisso antes, mas ele descobriu um modo de obter 
as informagdes num instante, sempre que as queria. Ele fez isso aproveitando-se de um servico forne- 
cido pelo Departamento de Transito do seu estado. Os Departamentos de Transito de muitos estados 
tomam as informac6es de acesso privilegiado sobre os cidadaos disponiveis para as empresas segu- 
radoras, os detetives particulares e determinados outros grupos, os quais, de acordo com a lei foram 
considerados como tendo direito a elas pelo bem do comércio e da sociedade em geral. 


Obviamente, 0 Departamento de Transito tem as limitagdes apropriadas para os tipos de dados 
que serao divulgados. A industria dos seguros pode obter determinados tipos de informagédes dos 
arquivos, mas nao outras. Um conjunto diferente de limita¢gGes aplica-se aos detetives e assim por 
diante. 


Em geral, para os agentes da lei uma regra diferente é aplicada. O Departamento de Transito 
fornece as informagdes que estao em seus registros para qualquer juiz de direito que se identifique 
da maneira apropriada. No estado em que Eric morava na época, a identificagaéo requerida era um 
Cédigo do Solicitante emitido pelo Departamento de Transito, juntamente com o nimero da Carteira 
de Motorista do oficial. O empregado do Departamento de Transito sempre teria de comparar 0 nome 
do oficial com o numero da sua Carteira de Motorista e com mais alguma informagao — em geral a 
data de nascimento — antes de fornecer as informac6es. 


114 A Arte de Enganar 


O que o engenheiro social Eric queria fazer nada mais era do que se fazer passar por um Oficial 
da lei. 


Como ele conseguiu fazer isso? Pregando um golpe inverso nos policiais! 


O golpe de Eric 


Primeiro ele ligou para o nimero de informagdes da companhia telefOnica e pediu o numero de 
telefone da sede do Departamento de Transito na sede do governo estadual. Ele recebeu 0 nimero 
503-555-5000, o qual, obviamente, é o numero para as ligagdes do publico em geral. Em seguida. 
ligou para o posto policial mais pr6ximo e pediu para falar com a sala do teletipo — o escrit6rio no 
qual as comunicag6es sao enviadas e recebidas das outras policias, do banco de dados nacional de 
crimes, das prisdes locais e assim por diante. Assim que conseguiu falar com a sala de teletipo, ele 
disse que estava procurando o numero de telefone da policia para o qual teria de ligar ao falar com a 
sede estadual do Departamento de Trdansito. 


"Quem é vocé?", perguntou o oficial de policia da sala de teletipo. 
perg Pp Pp 


"Aqui é0 Al. Eu estava ligando para 0 503-555-5753", ele disse. Isso era em parte uma suposi¢ao 
e em parte um numero que ele tirou do nada; com certeza o escritério especial do Departamento de 
Transito que recebia ligacgdes sobre a aplicagao da lei deveria ter o mesmo cddigo de d4rea do nimero 
dado para o publico ligar, e era quase certo que os pré6ximos trés digitos, 0 prefixo, também fossem 
iguais. Tudo o que ele realmente precisava descobrir eram os quatro Ultimos digitos. 


A sala de teletipo do delegado nao recebe ligagées do ptblico. E o interlocutor ja tinha a maior 
parte do numero. Obviamente essa era uma solicitacao legitima. 


"O nimero é 503-555-6127", respondeu o oficial. 


Dessa forma, Eric agora tinha o numero de telefone especial que os policiais usavam para ligar 
para o Departamento de Transito. Mas um numero apenas nao bastava para satisfazé-lo; 0 escrit6rio 
deveria ter muito mais do que uma Unica linha telef6nica e Eric precisava saber quantas linhas havia 
e o numero de cada uma delas. 


A central telefonica 


Para executar seu plano ele precisava acessar a central telef6nica que tratava das linhas telef6nicas 
entre a policia e o Departamento de Transito. Ele ligou para 0 Departamento de Telecomunicac6es 
estadual e disse que era da Nortel, 0 fabricante do DMS-100, uma das centrais telef6nicas comerciais 
mais usadas. Ele perguntou: "Vocé pode me transferir para um dos técnicos em centrais telefOnicas 
que trabalha com o DMS 100?" 


Quando o técnico atendeu, ele afirmou ser do Centro de Suporte a Assisténcia Técnica da Nortel, 
no Texas, e explicou que eles estavam criando um banco de dados master para atualizar todas as cen- 
trais telefOnicas com as atualizacgdes de software mais recentes. Tudo seria feito remotamente — nao 
seria necessaria a participag¢ao de nenhum técnico. Mas eles precisam do numero de discagem da 
central telef6nica para executarem as atualizagdes diretamente do Centro de Suporte. 


Isso parecia plausivel e 0 técnico deu a Eric o numero do telefone. Agora ele podia discar direta- 
mente para uma das centrais telefOnicas do estado. 


Com seguranga contra estranhos, as centrais telef6nicas comerciais desse tipo tem uma senha, 
como qualquer outra rede de computadores corporativa. Todo bom engenheiro social com um histo- 
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rico de invasao por telefone sabe que as centrais telefOnicas da Nortel fornecem um nome de conta 
default para as atualizacoes de software: os NTAs (abreviatura de Nortel Technical Assistance Sup- 
port; nada sutil nao é?). Mas e a senha? Eric discou varias vezes e cada vez tentava uma das opcdes 
mais Obvias e mais utilizadas. Inseriro mesmo nome da conta, NTAS, nada adiantou. Nem "helper", 
e também nem "patch". 


Em seguida, tentou "atualizacao"... e conseguiu. Isso é tipico. O uso de uma senha 6ébvia e que 
pode ser adivinhada facilmente é apenas melhor do que nao ter nenhuma senha. 


Isso agilizou o processo. Eric talvez soubesse tanto sobre aquela central telef6nica e sobre como 
programar e solucionar os problemas quanto o técnico. Depois que conseguiu acessar a central tele- 
fOnica como usuario autorizado, ele podia ter controle completo sobre as linhas telef6nicas que eram 
o seu alvo. Do computador ele consultava a centra! telef6nica do numero de telefone que ele havia 
conseguido para as chamadas da policia do Departamento de Transito, o nimero DMV, 555-6127. Ele 
descobriu que havia 19 outras linhas telef6nicas no mesmo departamento. Obviamente, elas recebiam 
um volume alto de liga¢goes. 


Para cada ligacao recebida, a central telefOnica estava programada para "cacar" nas 20 linhas até 
encontrar uma que nao estava ocupada. 


Ele pegou a linha de nimero 18 da seqiiéncia e digitou 0 cédigo que incluia o encaminhamento 
de chamada para aquela linha. Com o numero para o encaminhamento de chamadas, ele digitou o nt- 
mero do telefone do seu novo e barato telefone celular pré-pago, do tipo que os traficantes de drogas 
gostam, porque sao baratos e podem ser jogados fora depois que o trabalho é executado. 


Agora com o encaminhamento de chamadas ativado para a linha 18, assim que o escritério 
ficava cheio com 17 ligagdes em andamento, a proxima ligacao a chegar nao tocaria no escrit6- 
rio do Departamento de Transito, mas seria encaminhada para o telefone celular de Eric. Ele sentou 
e esperou. 


Unn ligacao para o Departamento de Transito 


Logo depois das 8 horas daquela manha o telefone celular tocou. Essa era a melhor parte e a mais 
deliciosa. Aqui estava Eric, 0 engenheiro social falando com um policial, alguém com autoridade para 
ir 14 e prendé-lo ou conseguir um mandado de busca para encontrar evidéncias contra ele. 


E nao apenas um policial ligou, mas sim uma fileira deles, um apés 0 outro. Em uma ocasiao. 
Eric estava sentado em um restaurante almocando com amigos, recebendo uma ligac¢ao a cada cinco 
minutos, escrevendo as informa¢goes em um guardanapo de papel e usando uma caneta emprestada. 
Até hoje ele acha isso muito engra¢ado. 


Mas falar com os policiais nao perturba um bom engenheiro social de maneira alguma. Na ver- 
dade, a emocao de enganar esses agentes da lei provavelmente aumentou o contentamento de Eric 
com a faganha. 


De acordo com Eric, as ligagdes eram mais ou menos assim: 
"Departamento de Transito, posso ajudar?" 

"Aqui € 0 Detetive Andrew Cole." 

"Oi. detetive. Como posso ajuda-lo?" 


"Preciso de um Soundex na carteira de motorista 005602789", ele dizia, usando o termo familiar 
na policia para pedir uma foto — o que é Util, por exemplo, quando os oficiais vao prender um sus- 
peito e querem saber como ele é. 
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"E claro, deixe-me pegar a ficha", Eric respondia. "Detetive Cole, qual é 0 seu distrito?" 


"Jefferson County". Em seguida, Eric fazia as perguntas mais importantes: "Detetive, qual é 
oO seu cddigo de solicitante?" "Qual é o numero da sua carteira de motorista?" "Qual é sua data da 
nascimento?" 


O interlocutor dava as suas informagoes de identificag4o pessoal. Eric fingia estar verificando as 
informacgoOes e depois dizia que as informacoes de identificagao haviam sido confirmadas e pedia os 
detalhes sobre aquilo que o interlocutor queria do Departamento de Transito. Ele fingia comegar pro- 
curando 0 nome, o interlocutor 0 ouvia digitando e, em seguida, dizendo algo do tipo "Ah, droga, meu 
computador deu pane novamente. Desculpe detetive, mas 0 meu computador esta com problemas a 
semana toda. Vocé poderia ligar novamente e pedir para outro operador ajuda-lo?" 


Dessa forma encerrava a ligagao sem levantar nenhuma suspeita sobre 0 motivo pelo qual ele 
nao pdde ajudar o oficial e atender a sua solicitagao. Nesse meio tempo, Eric ja tinha uma identidade 
roubada — os detalhes com os quais podia obter as informacgoes confidenciais do Departamento de 
Transito sempre que precisasse. 


Apéos atender as ligagdes durante algumas horas e obter dezenas de cédigos de solicitante, Eric 
discava para a central telef6nica e desativava o encaminhamento de chamadas. Durante meses depois 
disso, ele realizou trabalhos que lhes eram passados por empresas de investigacao particular legiti- 
mas, as quais nao queriam saber como ele obtinha as informagdes. Sempre que precisava, ele discava 
de novo para a central telef6nica, ligava o encaminhamento de chamadas e coletava outra pilha de 
credenciais de policiais. 


Analisando a trapaca 


Vamos rever os golpes que Eric usou para realizar o seu trabalho. Na primeira etapa bem-sucedida, 
ele conseguiu que um delegado de uma sala de teletipo desse 0 numero confidencial do Departamento 
de Transito para alguém totalmente estranho, aceitando o homem como um delegado sem solicitar 
nenhuma verificac¢ao. 


Recado do 


Se vocé tiver uma central telefonica em sua empresa, 0 que a pessoa encarregada fa- 
ria se recebesse uma ligacao de um fornecedor pedindo o numero de discagem? E, por 
falar nisso, essa pessoa ja alterou a senha default da central? Essa senha é uma palavra 
facil que pode ser encontrada em qualquer dicionario? 


Em seguida, alguém do Departamento de Telecomunicagoes do estado fazia a mesma coisa, 
aceitando a alegacao de Eric de que ele era o fabricante do equipamento e fornecendo ao estranho um 
numero de telefone para discar para a central telef6nica que atendia 0 Departamento de Trdansito. 


Em grande parte, Eric conseguiu entrar na central telef6nica por causa das praticas ruins de se- 
guranca implantadas pelo fabricante da central telefOnica ao usar 0 mesmo nome de conta em todas 
as suas centrais. Essa falta de cuidado tornou muito facil para o engenheiro social adivinhar a senha, 
sabendo mais uma vez que os técnicos das centrais telef6nicas, assim como quase todas as outras 
pessoas, preferem as senhas mais faceis de decorar. 
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Com o acesso a central telef6nica, ele configurou o encaminhamento de chamadas de uma das 
linhas telef6nicas da policia do Departamento de Transito para o seu telefone celular. 


Em seguida, na parte mais espalhafatosa, enganou um agente da lei apés o outro para que eles 
revelassem nao apenas os seus cdédigos de solicitante, como também suas proprias informacgées de 
identificagéo pessoal, dando a Eric a capacidade de se fazer passar por eles. 


Embora, sem dtivida, um certo conhecimento técnico tivesse sido necessario para realizar essa 
faganha, isso poderia nao ter funcionado sem a ajuda de uma série de pessoas que nao tinham a menor 
idéia de que estavam falando com um impostor. 


Essa hist6éria é outra ilustragdo do fen6dmeno no qual as pessoas nao perguntam "Por que eu?". 
Por que o oficial do teletipo deu essas informagoes para algum representante de delegado que ele nem 
conhecia — ou, neste caso, um estranho se fazendo passar pelo representante do delegado — em vez 
de sugerir que ele obtivesse as informacgdes de um colega representante ou do seu préprio oficial? 
Novamente, a tinica resposta que posso dar é que as pessoas raramente fazem essa pergunta. Nao lhes 
ocorre perguntar? Elas nao querem parecer tolas e pouco dispostas a ajudar? Talvez sim. Qualquer 
outra explicacao seria pura adivinhacao. Mas os engenheiros sociais nao se importam com 0 motivo; 
eles s6 se importam com o fato de esse pequeno detalhe facilitar a obtencao das informagoes que, de 
outra forma, seriam dificeis de obter. 


EVITANDO A TRAPACA 


Um cédigo de seguranca bem utilizado agrega uma camada valiosa de protecao. Um cédigo de se- 
guranca mal usado pode ser pior do que nenhum cédigo, porque ele da a ilusao de seguranga quando 
ela na verdade nao existe. Para que servem os cédigos se os seus empregados nao os mantém em 
segredo? 


Qualquer empresa que tenha necessidade de cddigos verbais de seguranga precisa declarar ex- 
pressamente para seus empregados quando e como os cédigos devem ser usados. Se fosse treinado 
adequadamente, 0 personagem da primeira historia deste capitulo nao teria de depender dos seus ins- 
tintos, os quais foram facilmente superados, quando lhe foi pedido que desse um cédigo de seguranga 
para um estranho. Ele sentiu que naquelas circunstancias 0 cédigo nao seria pedido, mas sem uma 
politica clara de segurangca — e sem 0 bom senso — ele o deu com facilidade. 


Os procedimentos de seguranga também devem definir as etapas a serem seguidas quando um 
empregado faz uma solicitagaéo inadequada por um cédigo de seguranc¢a. Todos os empregados de- 
vem ser treinados para relatar imediatamente qualquer solicitagao de credenciais de autentica¢ao, 
tais como o cédigo didrio ou uma senha, solicitagao essa que é feita em circunstancias suspeitas. 
Eles também devem informar quando uma tentativa de verificagao da identidade de um solicitando 
nao confere. 


No minimo, 0 empregado deve registrar 0 nome, 0 numero do telefone e o escrit6rio ou depar- 
tamento do solicitante e depois desligar. Antes de ligar de volta, ele deve verificar se a organiza¢ao 
realmente tem um empregado com aquele nome e se o numero de telefone que ele deu coincide com 
o numero da lista on-line ou impressa da empresa. Na maior parte do tempo, essa tatica simples sera o 
necessario para verificar se o interlocutor é quem diz ser. 


A verificagaéo torna-se um pouco mais complicada quando a empresa tem uma lista telef6nica 
publicada em vez de uma versdao on-line. As pessoas sao contratadas, vao embora, mudam de depar- 
tamentos, de cargos e de nuimeros de telefone. A lista de telefones impressa ja esta desatualizada no 


118 a Arte de Enganar 


dia seguinte a sua publicagao, mesmo antes de ser distribuida. Mesmo as listas on-line nem sempre 
sao confidveis, porque os engenheiros sociais sabem como modifica-las. Se um empregado nao puder 
verificar o numero de telefone de uma fonte independente, ele deve ser instruido para verificar por 
outros meios, tais como entrar em contato com o gerente do empregado. 
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r que é tao facil para um estranho assumir a identidade do empregado de uma empresa e se 

azer passar por ele de forma tao convincente que até mesmo as pessoas que sao altamente 

preocupadas com a seguranga sao enganadas? Por que é tao facil enganar individuos que tém 

conhecimento total dos procedimentos de seguranga, pessoas que suspeitam das outras pessoas que 
nao conhecem pessoalmente e que protegem os interesses de suas empresas? 


Pense nessas perguntas ao ler as historias deste capitulo. 


O GUARDA DE SEGURANCA COM PROBLEMAS 


Data/Hora: terca-feira, 17 de outubro, 2hl6. 


Local: Skywatcher Aviation, Inc., fabrica nas vizinhangas de Tucson, Arizona. 


A historia do guarda de seguranca 


Ouvir o barulho dos seus saltos de couro batendo no chao enquanto caminhava nos corredores da 
fabrica quase deserta era algo que fazia Leroy Greene sentir-se muito melhor do que quando tinha 
de passar a noite de vigilia na frente dos monitores de video do escritorio da seguranga. La ele nao 
podia fazer nada além de ficar olhando as telas, nem podia ler uma revista ou a sua Biblia com capa 
de couro. Ele tinha de ficar sentado olhando os monitores com imagens paradas, nas quais quase nada 


se movia. 


Mas ao caminhar pelos corredores, pelo menos estava esticando as pernas, e, quando se lembra- 
va, abria os bragos e movia os ombros durante a caminhada, fazendo assim um pouco de exercicio. 
Entretanto, isso néo contava como exercicio para um homem que havia jogado na equipe de futebol 
americano All-City, no gindsio. Mesmo assim, ele pensava, trabalho é trabalho. 


Ele virou o corredor para 0 sudoeste e comecou a percorrer a galeria, supervisionando a area de 
producao de 800 m de comprimento. Ele olhou para baixo e viu duas pessoas caminhando apos a 
linha de helicépteros parcialmente montados. Elas pararam e pareciam apontar algumas coisas. Uma 
visio estranha nessa hora da madrugada. "E melhor eu verificar", ele pensou. 


Leroy foi até a escada que o levaria a linha de producAo atras das pessoas, e elas nao o viram até 


que chegou ao seu lado. "Bom-dia. Posso ver seus crachas, por favor?", ele perguntou. Leroy sempre 
tentava manter a voz suave nesses momentos; ele sabia que 0 seu tamanho avantajado poderia parecer 


ameacador. 
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"Oi, Leroy", um deles respondeu, lendo 0 nome no seu cracha. "Sou Tom Stilton, do escritério de 
Marketing em Fénix. Vim para algumas reuniOes na cidade e queria mostrar para 0 meu amigo como 
os maiores helicdépteros do mundo sao construidos." 


"Sim, senhor. O seu cracha, por favor", repetiu Leroy. Ele nao pdde deixar de notar como eles 
eram jovens. O rapaz do marketing parecia haver saido do colégio, 0 outro tinha 0 cabelo pelo ombro 
e parecia ter uns 15 anos. 


O rapaz de cabelo cortado procurou 0 cracha em um bolso e. em seguida, come¢ou a procurar nos ou- 
tros bolsos. De repente, Leroy comegou a ter um mau pressentimento sobre isso tudo. "Droga", disse o ra- 
paz. "Devo ter deixado no carro. Vou 14 pegar — me dé dez minutos para ir até 0 estacionamento e voltar." 


Leroy ja estava com a sua prancheta. "Qual era mesmo o seu nome, senhor?", ele perguntou e 
anotou a resposta com cuidado. Em seguida, pediu que eles fossem com ele até o Escritério da Segu- 
ranca. No elevador para o terceiro andar, Tom explicou que estava na empresa ha apenas seis meses 
€ esperava que isso nao lhe trouxesse problemas. 


Na sala de monitoramento da Seguranga, os dois outros segurangas do turno da noite de Leroy 
juntaram-se a ele para fazer perguntas ao par. Stilton deu seu numero de telefone e disse que a sua 
chefe era Judy Underwood e deu o ntimero do telefone dela, e todas as informagdes foram checadas 
no computador. Leroy afastou-se com os dois outros segurangas e conversaram sobre o que fazer. 
Ninguém queria fazer a coisa errada; todos os trés concordaram que era melhor ligar para o chefe do 
rapaz, embora isso significasse acorda-la no meio da noite. 


Leroy ligou ele mesmo para a Sra. Underwood, explicou quem ele era e perguntou se o Sr. Tom 
Stilton trabalhava para ela. Parecia que ela estava meio adormecida ainda. "Sim", ela disse. 


"Bem, o encontramos aqui na linha de producao as 2h30 da manha sem nenhum cracha de iden- 
tificacao." 
A Sra. Underwood pediu: "Deixe-me falar com ele." 


Stilton pegou o telefone e disse: "Judy, sinto muito que os segurangas te acordaram no meio da 
noite. Espero que vocé nao fique zangada comigo por causa disso." 


Ele ouviu e depois continuou: "Acontece que eu tinha de estar aqui de manha de qualquer ma- 
neira para aquela reunido sobre o novo press release. De qualquer forma, vocé recebeu 0 e-mail sobre 
o acordo com o Thompson? Precisamos nos reunir com o Jim na segunda-feira de manha para nao 
perdermos esse negocio. E ainda tenho aquele almo¢o com vocé na tercga-feira, certo?" 


Ele ouviu mais um pouco, disse adeus e desligou. 


Isso pegou Leroy de surpresa. Ele pensou que voltaria ao telefone para que a senhora lhe disses- 
se que estava tudo bem. Ele se perguntava se deveria ligar novamente para ela, mas pensando melhor 
achou que nao. Ele ja a havia incomodado no meio da noite. Se ele ligasse novamente, ela poderia 
ficar aborrecida e iria reclamar com o chefe dele. "Por que criar caso?", ele refletiu. 


"Tudo bem se eu mostrar ao meu amigo o restante da linha de producao?", Stilton perguntou a 
Leroy. "Vocé quer vir junto para nos vigiar?" 

"Va em frente", afirmou Leroy. "Olhe tudo. S6 nao esquega o cracha da proxima vez. E avise a 
Seguran¢a antes de precisar estar na fabrica fora do horario de trabalho — esse é 0 regulamento." 


"Vou me lembrar disso, Leroy", disse Stilton. E eles foram embora. 


Menos de dez minutos depois o telefone tocou no Escritorio da Seguranga. Era a Sra. Underwood 
na linha. "Quem era aquele rapaz?", ela queria saber. Ela disse que tentou fazer perguntas, mas ele 
ficava falando sobre um almoco que tinha com ela e ela nao sabia quem era ele. 
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Os segurangas ligaram para a recepcdo e para o guarda do portao do estacionamento. Ambos 
disseram que os dois jovens haviam saido fazia alguns minutos. 


Mais tarde, ao contar a histéria, Leroy sempre terminava dizendo: "Meu Deus, 0 meu chefe que- 
ria acabar comigo. Eu tenho sorte de ainda ter o emprego." 


A historia de Joe Harper 


SO para ter idéia do que poderia fazer, o jovem Joe Harper de 17 anos vinha se esgueirando e entrando 
em prédios ha mais de um ano, ora durante o dia, ora a noite. Filho de um misico e uma garconete, 
ambos trabalhando no turno da noite, Joe ficava muito tempo sozinho. A sua histéria para aquele 
mesmo incidente nos da pistas instrutivas sobre como tudo aconteceu. 


fi he he ie ee ee ee he 


Tenho esse amigo, 0 Kenny, que acha que quer ser um piloto de helicépteros. Ele me pediu para 
leva-lo até a fabrica Skywatcher e ver a linha de produ¢ao dos helicépteros. Ele sabe que ja entrei 
em outros lugares antes. Infiltrar-se em lugares nos quais nao deveria estar requer uma overdose de 
adrenalina. 


Mas vocé simplesmente nao entra em uma fabrica ou um prédio de escritérios. E preciso pensar 
muito antes, planejar muito e fazer um trabalho grande de reconhecimento do alvo. Vocé tem de veri- 
ficar na pagina Web da empresa os nomes e cargos, a estrutura hierdrquica e os numeros de telefone. 
E preciso também ler recortes de jornais e artigos de revistas. Ser meticuloso é a minha precaucdo 
para que eu possa falar com qualquer pessoa que me desafie com tanto conhecimento quanto o de 
qualquer empregado. 


Por onde comegar, entao? Em primeiro lugar, procurei na Internet para saber onde a empresa 
tinha escrit6rios e vi que a sede corporativa era em Fénix. Perfeito. Liguei e pedi para falar com o 
Marketing; toda empresa tem um departamento de marketing. Uma senhora atendeu e eu disse que 
era da Blue Pencil Graphics e queria saber se eles teriam interesse em usar Os nossos servi¢os e com 
quem poderia falar. Ela disse que eu deveria falar com Tom Stilton. Pedi o nimero do seu telefone 
e ela respondeu que eles nao davam essas informac6es, mas que ela poderia me passar para ele. A 
ligagao caiu no voice mail, e a sua mensagem dizia: "Aqui é Tom Stilton, de Graficos, ramal 3147. 
por favor deixe a sua mensagem". E claro que eles nao dao os ramais, mas esse funciondario deixa o 
seu ramal bem no seu voice mail. Isso era 6timo. Agora eu tinha um nome e um ramal. 


Fiz outra ligagao para o mesmo escritorio. "Ola, eu estava procurando por Tom Stilton. Ele nao esta. 
Gostaria de fazer uma perguntinha ao chefe dele." O chefe estava fora também, mas quando desliguei, 
eu ja tinha o nome do chefe. E ele também havia educadamente deixado o seu ramal no voice mail. 


Provavelmente eu poderia passar pelo guarda da recepgao sem esfor¢o, mas eu ja havia passado 
por aquela fabrica e acho que me lembrava de que havia uma cerca ao redor do estacionamento. Uma 
cerca significa um guarda que verifica a sua identidade quando vocé tenta entrar de carro. Naquela 
noite, eles poderiam estar tomando nota dos nimeros das placas dos carros também e eu teria de 
comprar uma placa antiga em um ferro-velho. 


Mas primeiro eu teria de obter o numero de telefone da guarita do guarda. Esperei um pouco para 
que a telefonista nao reconhecesse a minha voz. Depois de algum tempo liguei e disse: "Temos uma 
reclamacao de que o telefone da guarita do guarda em Ridge Road apresenta problemas intermitentes 

- eles ainda estao com problemas?" Ela afirmou que nao sabia, mas ia fazer a ligagaéo para mim. 
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O seguran¢a respondeu: "Portao de Ridge Road, aqui é Ryan." Eu comecei: "Ola, Ryan, aqui 
€ o Ben. Vocé esta tendo problemas com os seus telefones ai?" Ele é apenas um guarda de segu- 
rang¢a com um salario baixo, mas acho que ele foi bem treinado porque disse imediatamente: "Ben 
de qué? Qual é o seu sobrenome?" Continuei como se nao tivesse ouvido. "Alguém reportou um 
problema antes." 


Eu 0 ouvi segurando o telefone longe do rosto e gritando: "Hei, Bruce, Roger, houve algum pro- 
blema com este telefone?" Ele voltou: "Nao, nao sabemos de nenhum problema." 


"Quantas linhas telef6nicas vocés tem ai?" 

Ele havia esquecido a histé6ria do meu sobrenome. "Duas", ele respondeu. 
"Em qual vocé esta agora?" 

"3140". 

Pronto! "E ambos estao funcionando bem?" 

"Parece que sim." 


"Muito bem", eu salientei. "Ouca, Tom, se vocé tiver algum problema, basta nos ligar na empresa 
de telefonia a qualquer momento. Estamos aqui para ajudar." 


O meu amigo e eu resolvemos visitar a fabrica na noite seguinte. No final daquela tarde liguei 
para a guarita do guarda usando o nome do funcionario de Marketing e disse: "Oi, aqui é Tom Stilton, 
de Graficos. Estamos com um prazo vencendo aqui e dois rapazes estado chegando a cidade para 
ajudar. Provavelmente eles chegaréo depois da uma ou das duas da manha. Vocé ainda vai estar 
por aqui?" 


Ele ficou satisfeito em dizer que nao, ele safa a meia-noite. 


Eu retruquei; "Bem, deixe um recado para 0 seguranca do proximo turno. OK? Quando os 
dois rapazes aparecerem e disserem que vieram ver 0 Tom Stilton, é para deixa-los entrar — tudo 
bem?" 


Sim, ele disse, estava tudo bem. Ele tomou nota do meu nome, do departamento e do ntimero 
do ramal e disse que tomaria conta do assunto. 


Chegamos ao portao um pouco depois das duas, dei o nome de Tom Stilton e um guarda sono- 
lento apontou para a porta pela qual deveriamos entrar e onde deverfamos estacionar o carro. 


Quando ele entrou no prédio, havia outra guarita de seguranca na recep¢ao, com o conhecido 
livro para as assinaturas dos funcionarios que entravam apos o expediente. Expliquei ao guarda que 
tinha um relatério que precisava estar pronto pela manha e que esse meu amigo queria ver a fabrica. 
"Ele é louco por helicépteros", eu contei. "Acho que ele quer aprender a pilotar um." Ele pediu o 
meu cracha. Procurei em um bolso e depois nos outros e disse que devia ter deixado o cracha no 
carro. "Eu vou 14 pegar", eu disse. "Isso s6 vai levar uns dez minutos." Ele afirmou: "Tudo bem, 
basta assinar o livro." 


Caminhar por aquela linha de producao era muito emocionante. Até aquela jamanta do Leroy 
nos parar. 

No escritério da seguranga, imaginei que alguém de fora ficaria nervoso e assustado. Quando 
as coisas ficam feias, comeco a dar a impressao de que estou realmente a vontade, como se eu fosse 
realmente quem digo sere que é aborrecedor o fato de eles nao acreditarem em mim. 


Quando eles comegaram a conversar para saber se deveriam ligar para a senhora que eu disse ser 
a minha chefe e foram procurar 0 numero do seu telefone no computador, fiquei 14 parado e pensando: 
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"Boa hora para parar com isso tudo". Mas havia o portaéo do estacionamento — mesmo que conse- 
guissemos sair do prédio, eles poderiam fechar 0 portao e nos nunca conseguiriamos. 


Quando Leroy ligou para a senhora que era a chefe de Stilton e, em seguida, me passou o tele- 
fone, ela gritava: "Quem é, quem é vocé?" e eu continuava falando como se estivéssemos em meio a 
um bate-papo e depois desliguei. 


Quanto tempo é preciso para encontrar alguém que pode dar um numero de telefone de uma em- 
presa no meio da noite? Achei que tinha menos de quinze minutos para sair de 14 antes que a senhora 
ligasse para o escritorio da seguranga. 


Saimos de 14 0 mais rapido que pudemos sem parecer que estavamos com pressa. Fiquei aliviado 
quando o seguran¢a do portao nos deixou sair. 


Analisando a trapaca 


Vale a pena notar que no incidente real no qual esta histéria se baseia, os invasores sao realmente 
adolescentes. A invasao foi feita por farra, sé para ver se conseguiam fazer isso. Mas se foi tao facil 
para uma dupla de adolescentes, teria sido mais facil ainda para ladroes adultos, espides industriais 
ou terroristas. 


Como trés segurancgas experientes permitem que dois intrusos simplesmente saiam? E eles nao 
eram quaisquer intrusos, mas sim uma dupla tao jovem que qualquer pessoa razoavel suspeitaria. 


Leroy ficou desconfiado a principio. Ele estava certo em leva-los para o Escritério da Seguranga, 
em questionar 0 rapaz que chamou a si mesmo de Tom Stilton e em verificar os nomes e os nimeros 
de telefone que ele deu. Ele agiu corretamente ao fazer a ligacao telefOnica para 0 supervisor. 


Mas, no final, foi enganado pelo ar de confianga e indigna¢ga4o do jovem. Esse nao era 0 compor- 
tamento que ele esperaria de um ladrao ou de um intruso — apenas um empregado real teria agido 
daquela maneira... ou pelo menos foi isso 0 que supds. Leroy deveria ter sido treinado para contar 
com uma identificacao sdlida e nao com percepcoes. 


Por que Leroy nao desconfiou mais quando o jovem desligou o telefone sem passaé-lo novamente 
para que ele ouvisse a confirmacao diretamente de Judy Underwood e recebesse a sua garantia de que 
o garoto tinha um motivo para estar na fabrica aquela hora da noite? 


Leroy foi enganado por um truque tao audacioso que deveria ser 6bvio. Mas pense um instante 
sob o seu ponto de vista: uma pessoa com apenas o colégio, preocupado com o seu emprego, sem 
saber se deveria incomodar um gerente da empresa pela segunda vez no meio da noite. Se vocé esti- 
vesse no lugar dele, teria feito a ligacgao de confirmacao? 


Obviamente, uma segunda liga¢4o nao era a tinica a¢ao possivel. O que mais 0 seguran¢a poderia 
ter feito? 


Mesmo antes de fazer a liga¢ao, ele poderia ter pedido a dupla para mostrar algum tipo de foto de 
identificagao. Eles dirigiram até a fabrica e, assim, pelo menos um deles deveria ter uma carteira de mo- 
torista. O fato de eles terem dado originalmente nomes falsos ficaria 6bvio (um profissional viria com 
um ID falso, mas esses adolescentes nao tomaram esse cuidado). Em todo caso, Leroy deveria ter 
examinado as suas credenciais de identificagao e deveria ter anotado as informa¢des. Se ambos insis- 
tissem que nao tinham identifica¢ao, ele os levaria até o carro para pegar o cracha que "Tom Stilton" 
dizia ter deixado 14. 


Depois da ligacao telef6nica, um dos segurancgas deveria ter permanecido com a dupla até que 
ela saisse do prédio. E, em seguida, deveria leva-los até 0 carro e anotado o nimero das placas. Se ele 
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fosse suficientemente observador, poderia ter notado que a placa (aquela que o atacante havia com- 
prado em um ferro-velho) nao tinha um selo valido de registro — e isso seria motivo suficiente para 
deter a dupla para mais investiga¢6es. 


Recado do 
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As pessoas manipuladoras em geral tém personalidades multo atraentes, Elas geral- 
mente sao rapidas e bem articuladas. Os engenheiros sociais também sao habilidosos 
para distrair os processos de pensamento das pessoas para que elas cooperem. Pensar 
que determinada pessoa nao é vulneravel a essa manipulacao é subestimar a habilidade 
e o instinto mortal do engenheiro social. Um bom engenheiro social, por sua vez. nunca 
subestima o seu adversario. 


VIRANDO LATAS 


Virar latas € uma expressdo que descreve colocar as mos no lixo do alvo em busca de informacg6es 
valiosas. A quantidade de informag6es que vocé pode ter sobre um alvo é impressionante. 


A maioria das pessoas nao da atengao para aquilo que estaéo descartando em casa: contas de 
telefone, faturas de cartdes de crédito, vidros com receitas médicas, extratos de banco, material rela- 
cionado com o trabalho e tantas outras coisas. 


No trabalho, os empregados devem ter consciéncia de que as pessoas olham no lixo para obter 
informag6es com as quais elas possam se beneficiar. 


Durante meus anos no colégio, eu costumava vasculhar a lata de lixo que ficava atras dos prédios 
da empresa de telefonia — quase sempre sozinho, as vezes com amigos que compartilhavam do inte- 
resse de saber mais sobre a empresa de telefonia. Depois que se torna um "Vira-lata" experiente, vocé 
aprende alguns truques. tais como os esforgos especiais para evitar os sacos de lixo dos banheiros e 
a necessidade de usar luvas. 


Virar latas nao é algo agradavel, mas a recompensa era extraordinaria — listas telefOnicas internas 
de empresas, manuais de computadores, listas de empregados, material impresso descartado mostran- 
do como programar 0 equipamento da central telef6nica e muito mais __ tudo 14 a sua disposic¢ao. 


Programava as visitas para as noites em que eram emitidos manuais, porque os contéineres de 
lixo tinham muitos manuais antigos, os quais foram descuidadamente jogados fora. E também fazia 
essas visitas em outras €pocas, procurando memorandos, cartas, relat6rios e assim por diante, os quais 
possam oferecer algumas gemas preciosas da informac¢ao. 


VIRAR LATAS Vasculhar o lixo de uma empresa (quase sempre em um lixo externo e 
vulneravel) para encontrar informacoes descartadas que tivessem valor ou que forne- 
cessem uma ferramenta a ser usada em um ataque da engenharia social, tal como os 
numeros de telefones internos ou os cargos. 
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Ao chegar, encontrava algumas caixas de papelao; tirava-as e as colocava de lado. Se alguém me 
desafiasse, 0 que acontecia de vez em quando, dizia que um amigo meu estava se mudando e eu estava 
procurando caixas para ajuda-lo a embalar as coisas. O guarda nunca observou todos os documentos 
que eu havia colocado dentro das caixas para levar para casa. Em alguns casos, ele me dizia para ir 
embora e, assim, simplesmente ia para o escrité6rio central de outra empresa de telefonia. 


Nao sei como isso funciona hoje, mas naqueles dias era facil saber quais sacos poderiam conter 
algo interessante. O lixo que era varrido do chAao e o lixo da lanchonete ficava solto nos sacos grandes, 
enquanto as cestas de lixo dos escrit6rios estavam todas alinhadas com sacos de lixo descartaveis 
brancos, Os quais eram amarrados um a um pelo pessoal da limpeza. 


Certa vez, enquanto pesquisava com alguns amigos, encontrei algumas folhas de papel rasgadas 
amao, E nao apenas rasgadas: alguém havia tido o trabalho de cortar as folhas em pedacos pequenos, 
iodos convenientemente jogados em um unico saco de lixo de 20 litros. Levamos 0 saco para uma loja 
local de rosquinhas, jogamos os pedagos em uma mesa e comecgamos a montar folha por folha. 


Todos gostavamos de montar quebra-cabecas, de modo que isso oferecia 0 estimulante desafio 
de um quebra-cabega gigante... mas ele tinha mais do que uma recompensa infantil. Quando termina- 
mos, tinhamos juntado toda a lista de nomes de contas e senhas de um dos sistemas de computador 
critico para a empresa. 


As nossas explorag6es de "vira-latas" valeram o risco e 0 esforgo? Pode apostar que sim. Valeu 
mais ainda do que vocé imagina porque o risco é zero. Isso era verdadeiro naquela época e ainda é 
verdadeiro hoje. Desde que vocé nao invada nenhuma propriedade, mexer no lixo de outra pessoa 
éalgo 100% legal. 


Obviamente, os phreakers e hackers nao sao os Unicos que enfiam suas cabegas nas latas de lixo. 
Os departamentos de policia de todo 0 pais fazem isso regularmente, e de mafiosos a criadores de 
bichinhos de estima¢ao j4 foram condenados com base em parte na evidéncia coletada de seus lixos. 
As agéncias de inteligéncia, incluindo a nossa propria, recorrem a esse método ha anos. 


Essa pode ser uma tatica muito baixa para James Bond — os fas do cinema podem preferir obser- 
va-lo perseguindo o vilaéo e levando uma beldade para a cama do que ficar de joelhos em algum lixo. 
Os espides da vida real sio menos enjoados quando algo de valor pode estar embalado entre cascas 
de banana e po de café usado, entre jornais e listas de compras. Particularmente quando a coleta das 
informag6es nao os coloca em risco. 


O lixo que vale dinheiro 


As corporagdes também jogam o jogo do "Vvira-lata". Os jornais tiveram um dia diferente em junho 
de 2000 ao reportar que a Oracle Corporation (cujo CEO, Larray Ellison, provavelmente seja 0 mais 
famoso inimigo da Microsoft) havia contratado uma empresa de investigagao que havia sido pega 
com as maos na botija. Parece que os investigadores queriam o lixo de uma localizacgao de lobby su- 
portada pela Microsoft, a ACT, mas nao queriam se arriscar a serem pegos. De acordo com as noticias 
da imprensa, a empresa de investigagcdes enviou uma mulher que ofereceu aos zeladores US$ 60 para 
deixar que ela pegasse 0 lixo da ACT. Eles recusaram. Ela voltou na noite seguinte, subiu a oferta pa- 
ra US$ 500 para os faxineiros e US$ 200 para os supervisores. 


Os zeladores recusaram e a entregaram. 


O conhecido jornalista on-line Declan McCullah, inspirando-se na literatura, chamou o seu artigo 
sobre 0 episddio no Wired News de "Foi a Oracle que espiou a MS". A revista Time, desmascarando 
Ellison, da Oracle, chamou seu artigo simplesmente de "Larry, 0 curioso". 
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Analisando a trapaca 


Com base em minha propria experiéncia e na experiéncia da Oracle, vocé poderia se perguntar por 
que uma pessoa se importaria em correr o risco de roubar o 1ixo de outra. 


A resposta, acho, é que o risco é nulo e os beneficios podem ser substanciais. Muito bem, talvez 
tentar subornar os zeladores seja algo que aumente a chance de haver conseqiiéncias, mas para aque- 
les que estao dispostos a se sujar um pouco, os subornos nao sao necessarios. 


Para um engenheiro social, a pratica de virar latas tem seus beneficios. Ele pode obter informa- 
¢des suficientes para orientar 0 seu assalto contra a empresa-alvo, incluindo memorandos, agendas 
de reuniOes, cartas e outros documentos que revelam nomes, departamentos, cargos, numeros de 
telefone e designacoes de projetos. O lixo pode render graficos da organizagao, informag6es sobre a 
estrutura corporativa, cronogramas de viagens e outros. Todos esses detalhes podem parecer triviais 
para quem esta dentro, embora sejam informagoes valiosissimas para um atacante. 


Mark Joseph Edwards, em seu livro Internet Security with Windows AT, fala sobre "relat6érios intei- 
ros descartados por causa de erros de digitagao, senhas escritas em pedacos de papel, impressos de reca- 
dos com numeros de telefone, pastas de arquivo inteiras com os documentos ainda dentro delas, disquetes 
e fitas que nao foram apagados ou destruidos — tudo 0 que poderia ajudar um provavel intruso". 


O escritor pergunta: "E quem sao as pessoas que trabalham na sua equipe de limpeza? Vocé deci- 
diu que eles nao entrarao [terao autorizacgao] na sala dos computadores, mas nao se esque¢a das outras 
latas de lixo. Se as agéncias federais acharem necessario fazer verificag6es do histérico das pessoas que 
tém acesso as suas cestas de lixo e cortadores de papel, vocé provavelmente deve achar também." 


Recado do 


O seu lixo pode ser o tesouro do seu inimigo. Nao damos muita atencao para os 
materiais que descartamos em nossa vida pessoal e, assim, por que acreditariamos 
que as pessoas tém uma atitude diferente no local de trabalho? Tudo se resume a 
educar a forca de trabalho sobre o perigo (as pessoas inescrupulosas que vasculham 
informacgoes valiosas) e a vulnerabilidade (as informacoes confidenciais que nao estao 
sendo destruidas ou apagadas adequadamente). 


O CHEFE HUMILHADO 


Ninguém pensou em nada disso quando Harlan Fortis veio trabalhar na segunda-feira de manha como 
sempre no Departamento Local de Transito e disse que ele saiu correndo de casa e esqueceu o cracha. 
O guarda da seguranca vira Harlan chegando e saindo todos os dias Uteis durante os dois anos nos 
quais ela vinha trabalhando naquele lugar. Ele fez um cracha temporario de empregado, ele pegou o 
cracha e continuou seu caminho. 


Dois dias depois o inferno todo comecou a acontecer. A hist6ria se espalhou por todo o departa- 
mento como um incéndio na floresta. Metade das pessoas que ouviram o que aconteceu nao acreditou. 
Do restante, ninguém parecia saber se ria ou se chorava pela pobre alma. 


Afinal de contas, George Adamson era uma pessoa gentil e generosa, a melhor cabecga que ja ha- 
viam tido naquele departamento. Ele nado merecia 0 que acontecera com ele. Tudo isso supondo que 
a historia fosse verdadeira, é claro. 
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O problema havia comecado quando George ligou para Harlan no seu escritério no final de uma 
sexta-feira e disse, com 0 maximo possivel de gentileza, que a partir da segunda-feira Harlan teria um 
novo emprego no Departamento Sanitario. Para Harlan isso nao era como ser despedido, isso era pior, 
pois era humilhante. Ele nao 1a deixar isso barato. 


Naquela mesma noite ele sentou-se na varanda para observar o transito das pessoas que voltavam 
para casa. Finalmente encontrou um garoto da vizinhanga chamado David, 0 qual era chamado por 
iodos de "O garoto dos jogos de guerra", voltando para casa, vindo do colégio. Ele parou David, deu- 
Ihe um "Code Red Mountain Dew" que havia comprado especialmente com essa finalidade e fez a 
proposta: 0 videogame mais recente e seis jogos em troca de ajuda com 0 computador e a promessa 
de ficar com o bico calado. 


Depois que Harlan explicou o projeto — sem dar nenhum detalhe comprometedor —, David 
concordou. Ele descreveu o que queria que Harlan fizesse. Ele teria de comprar um modem, ir até 
O escrit6rio, encontrar 0 computador de alguém no qual houvesse um conector de telefone perto 
e desocupado e ligar o modem. Teria de deixar 0 modem sob a mesa, em um lugar onde ninguém 
poderia ver. Em seguida, viria a parte arriscada. Harlan tinha de se sentar ao computador, instalar 
um software de acesso remoto e fazé-lo funcionar sempre que 0 homem que trabalhava no escrit6ério 
aparecia, ou sempre que alguém entrava e 0 via no escritério de outra pessoa. Ele estava tao tenso que 
mal podia ler as instrugdes que o garoto havia escrito para ele. Mas ele conseguiu e saiu do prédio 
sem ser visto. 


Plantando a bomba 


Naquela noite David veio apés o jantar. Os dois se sentaram no computador de Harlan e em alguns 
minutos o garoto havia discado para 0 modem, ganhado acesso e chegado 4 maquina de George 
Adamson. Isso nao foi muito dificil, uma vez que George nunca teve tempo para medidas de segu- 
rancga, tais como mudar as senhas, e estava sempre pedindo para uma ou outra pessoa fazer 0 down- 
load ou 0 envio por e-mail de algum arquivo para ele. Em pouco tempo, todos que trabalhavam no 
escrit6rio sabiam qual era a sua senha. 


Um pouco de pesquisa revelou o local onde estava 0 arquivo chamado BudgetSlides2002.ppt e 
O garoto fez o download dele no computador de Harlan. Em seguida, Harlan disse ao garoto para ir 
para casa e voltar em duas horas. 


Quando David voltou, Harlan pediu para ele se reconectar ao sistema de computadores do Depar- 
tamento de Estradas e colocar 0 mesmo arquivo de volta no lugar onde o encontrara para sobregravar 
a versao anterior. Harlan mostrou a David 0 videogame e prometeu que se as coisas corressem bem, 
ele o teria no dia seguinte. 


Surpreendendo George 


Vocé nao imagina que algo tao sem graca quanto audiéncias de orgamento teriam interesse para al- 
guém, mas a sala de reunides do Conselho Local estava cheia de reporteres, representantes de grupos 
de interesses especiais, membros do publico e até mesmo duas novas equipes de televisao. 


George sempre achou que havia muita coisa em jogo nessas sessdes. O Conselho Local tinha as 
rédeas da situagao e, a menos que George pudesse fazer uma apresentacdo convincente, 0 orgamen- 
to de Estradas seria cortado. Em seguida, alguém comegaria a reclamar sobre buracos, semaforos 
quebrados e cruzamentos perigosos, o culparia e a vida ficaria terrivel no ano seguinte. Mas quando 
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foi apresentado naquela noite, ele se levantou confiante. Ele havia trabalhado seis semanas nessa 
apresentacao e nos slides do PowerPoint. Ele havia testado com a sua mulher, com as principais 
pessoas da sua equipe e com alguns amigos respeitados. Todos concordaram que essa era a melhor 
apresentacao que ja haviam visto. 


As trés primeiras imagens do PowerPoint ficaram boas. Para variar, todos os membros do Conse- 
Iho estavam prestando atencao. Ele estava passando as suas idéias de modo eficaz. 


De repente tudo comecou a sair errado. A quarta imagem deveria ser uma linda foto ao pdr-do-sol 
da nova extensao da rodovia que havia sido inaugurada no ano passado. Em vez disso, algo muito 
embaracoso aconteceu. A foto era de uma revista do tipo Penthouse ou Hustler. O ptblico estava 
boquiaberto e ele correu até o laptop para mudar para a pr6xima imagem. 


Essa era pior ainda. Nao havia nada a ser imaginado. 


Ele ainda estava tentando clicar em outra imagem quando alguém do ptblico desligou o cabo de 
forga do projetor enquanto o diretor batia ruidosamente o seu martelo e gritava mais alto do que o 
barulho do publico dizendo que a reuniao eslava adiada. 


Analisando a trapaca 


Usando a experiéncia de um hacker adolescente, um empregado desgostoso conseguiu acessar o 
computador do chefe do seu departamento, descarregar uma importante apresentagao do PowerPoint 
e substituir alguns dos slides por imagens que certamente causariam um embaraco sério. Em seguida, 
ele colocou a apresentacao de volta no computador do homem. 


Com o modem conectado a um dos computadores do escrit6rio, 0 jovem hacker conseguia discar 
de fora. O garoto havia configurado o software de acesso remoto com antecedéncia para que, apds 
estar conectado ao computador, ele tivesse acesso completo a cada arquivo que estivesse armazenado 
em todo o sistema. Como 0 computador estava conectado a rede da organizacAo e ja tinha o nome e a 
senha do chefe, ele pode facilmente acessar os arquivos do chefe. 


Incluindo o tempo para escanear as imagens das revistas, todo 0 esforgo havia levado apenas qua- 
tro horas. O dano resultante para a reputagao de um bom homem ia além do que se possa imaginar. 


Recado do 


A grande maioria dos empregados que sao transferidos, demitidos ou rebaixados nun- 
ca causa problemas. Mesmo assim é preciso apenas um deles para fazer uma empresa 
perceber tarde demais as medidas que poderiam ser tomadas para evitar o desastre. 
A experiéncia e as estatisticas tem mostrado claramente que a maior ameaca para a 
empresa vem de dentro. Sao as pessoas que estao dentro que tem um conhecimento 
grande do lugar onde ficam as informacoes valiosas e de onde a empresa pode ser 
atingida para causar o maior dano. 


O CACA-PROMOCOES 


No final da manha de um agradavel dia de outono, Peter Milton caminhava na recep¢ao dos escrit6- 
rios regionais em Denver da Honorable Auto Parts, um atacadista nacional de pecas para o mercado 
de automéveis. Ele aguardava na recepcao enquanto a jovem registrava um visitante, dava orienta- 
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¢des para uma pessoa ao telefone sobre como chegar ao prédio e lidava com 0 homem do UPS, tudo 
mais ou Menos ao mesmo tempo. 


"Como vocé aprendeu a fazer tantas coisas ao mesmo tempo?", disse Pete quando ela teve tempo 
para ajuda-lo. Ela sorriu, obviamente satisfeita porque ele havia notado. Ele era do departamento de 
Marketing do escritorio de Dallas, como contou a ela, e disse também que Mike Talbott das vendas 
regionais de Atlanta ia recebé-lo. "Temos um cliente para visitar esta tarde", ele explicou. "Vou aguar- 
dar aqui na recep¢ao." 


"Marketing". Ela disse a palavra pensativamente, e Peter sorriu para ela esperando o que viria a 
seguir. "Se eu pudesse fazer faculdade, é isso 0 que escolheria", afirmou ela. "Adoraria trabalhar em 
Marketing." 


Ele sorriu novamente. "Kaila", ele continuou, lendo o nome na placa que estava no balcao, 
"Temos uma senhora no escritério em Dallas que foi secretaria. Ela conseguiu ser transferida para o 
Marketing. Isso foi ha trés anos e agora ela é gerente assistente de marketing ganhando o dobro do 
que ganhava." 


Kaila ficou estarrecida. Ele continuou: "Vocé sabe usar um computador?" 
"E claro que sim", ela disse. 


eVocé gostaria que eu colocasse 0 seu nome para se inscrever para um cargo de secretaria no 
Marketing?" 


Ela ficou radiante. "Eu seria capaz até de me mudar para Dallas." 


"Vocé vai adorar Dallas", ele disse. "N&o posso prometer uma vaga imediatamente, mas vou ver 
O que posso fazer." 


Ela pensou que aquele homem simpatico, no seu terno e gravata e com os cabelos bem cortados 
e penteados, poderia fazer uma grande diferenga para a sua vida profissional. 


Pete sentou-se do outro lado da recep¢ao, abriu o seu laptop e comecou a trabalhar. Apdés dez ou 
quinze minutos, ele voltou ao balcao. "Ouga", ele retorquiu, "parece que Mike deve estar ocupado. 
Ha uma sala de reunides onde eu possa me sentar e verificar os meus e-mails enquanto espero?" 


Kaila ligou para o homem que coordenava a programacao das salas de reuniao e conseguiu uma 
que nao estava ocupada para Pete. Seguindo o padrao usado nas empresas do Vale do Silicio (prova- 
velmente a Apple foi a primeira a adota-lo), algumas das salas de reunides tinham nomes de perso- 
nagens de desenhos animados, outras de cadeias de restaurantes, estrelas de cinema ou herdis de his- 
torias em quadrinhos. Ele disse para procurar a sala Minnie. Ela o registrou e deu as orientacg6es para 
ele encontrar a Minnie. 


Ele localizou a sala, acomodou-se e conectou 0 seu laptop a porta Ethernet. 
Vocé j4 adivinhou o que aconteceu? 


Certo — o intruso havia se conectado a rede atrds do firewall corporativo. 


A historia de Anthony 


Acho que podemos chamar Anthony Lake de um homem de negécios preguicoso. Ou talvez "encos- 
tado" ficasse melhor. 


Em vez de trabalhar para as outras pessoas, ele havia decidido que queria trabalhar para si mes- 
mo. Queria abrir uma loja, na qual pudesse estar em um local o dia todo e nao precisasse percorrer 0 
pais inteiro. S6 que ele queria ter uma empresa na qual tivesse quase certeza de ganhar dinheiro. 
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Que tipo de loja? Nao é preciso muito tempo para descobrir. Ele sabia consertar carros e, entao, 
a op¢ao ldgica seria uma loja de autopegas. 


E como vocé cria uma garantia de sucesso? A resposta veio num instante: convencer 0 atacadis- 
ta de autopecas Honorable Auto Parts a vender-lhe toda a mercadoria de que precisava com 0 seu 
custo. 


Naturalmente eles nao fariam isso de livre e espontanea vontade. Mas Anthony sabia como enga- 
nar as pessoas, 0 seu amigo Mickey sabia como invadir os computadores das outras pessoas e juntos 
imaginaram um plano inteligente. 


Naquele dia de outono ele passou por um empregado chamado Peter Milton e conseguiu entrar 
nos escritorios da Honorable Auto Paris e ja havia conseguido ligar o seu laptop a rede da empresa. 
Até aqui. tudo bem, mas essa foi apenas a primeira etapa. Aquilo que ainda teria de fazer nao seria 
facil, particularmente porque Anthony havia definido um limite de 15 minutos para si mesmo — um 
pouco mais e ele calculava que o risco de ser descoberto seria muito alto. 


Em uma ligacao telef6nica anterior, fingindo ser uma pessoa do suporte do fornecedor de com- 
putadores, ele havia dado outro golpe. "A sua empresa comprou um plano de suporte por dois anos 
e estamos colocando vocés no banco de dados para sabermos quando um programa de software que 
vocés usam tera um patch ou uma versao atualizada. Assim sendo, preciso que vocés me digam quais 
aplicativos vocés usam." A resposta deu-lhe uma lista de programas e um amigo contador identificou 
um chamado MAS 90 como 0 alvo — 0 programa que manteria a lista de fabricantes, juntamente com 
o desconto e os prazos de pagamento de cada um. 


Recado do 
| Mitnick | 


Treine o seu pessoal para nao julgar um livro apenas pela capa — o fato de alguém 
estar bem vestido e bem penteado nao faz dela uma pessoa mais confiavel. 


Com esse importante conhecimento, ele usou um programa de software para identificar todos 
os hosts em funcionamento na rede e nao demorou muito para que localizasse o servidor correto 
usado pelo departamento Contabil Do arsenal de ferramentas de hacker do seu laptop, ele abriu 
um programa e o usou para identificar todos os usuarios autorizados no servidor de destino. Com 
outro programa, executou uma lista das senhas mais usadas, tais como "branco" e a propria "senha". 
"Senha" funcionou e isso nao foi surpresa. As pessoas perdem toda a criatividade na hora de esco- 
Iher as senhas. 


Apenas seis minutos depois 0 jogo ja estava acabado e ele estava dentro da empresa. 


Mais outros trés minutos para incluir com todo o cuidado o nome da sua empresa, endereco. 
numero de telefone e nome para contato na lista de clientes. E, em seguida, a entrada crucial, aquela 
que faria toda a diferenga, a entrada que dizia todos os itens que lhe foram vendidos a 1% acima do 
custo da Honorable Auto Paris. 


Em aproximadamente dez minutos ele havia terminado. Ele parou o tempo suficiente para 
agradecer a Kaila e dizer que ja tinha verificado seus e-mails. E ele havia falado com Mike Talbot. 
os planos haviam mudado e ele estava indo para uma reuniao no escritorio do cliente. E ele nao se 
esqueceria de recomenda-la para aquele trabalho em Marketing. 
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Analisando a trapaca 


O intruso que chamou a si mesmo de Peter Milton usou duas técnicas de subversao psicolégica 
— uma planejada e a outra improvisada com o desenrolar dos acontecimentos. 


Ele se vestiu como um funcionario do gerenciamento que ganha um bom dinheiro. Terno e grava- 
la, cabelo bem cuidado — esses parecem ser detalhes pequenos, mas eles causam uma boa impressao. 
Eu mesmo descobri isso sem querer. Em pouco tempo como programador da GTE Califérnia — uma 
grande empresa de telefonia que nao existe mais — descobri que se viesse um dia sem 0 cracha, bem 
vestido, mas com roupa esporte — digamos uma camisa, calca e sapatos esporte — eu era parado e 
questionado. Onde esta o seu cracha, quem é vocé, onde vocé trabalha? Outro dia eu chegava, ainda 
sem o cracha, mas com terno, gravata e aparéncia bem corporativa. Eu usava uma variagaéo de uma 
velha técnica e me misturava a multidao de pessoas que entrava em um prédio ou portaria de segu- 
ranca. Eu ficava perto de alguém ao passar pela entrada principal e caminhava conversando com as 
pessoas como se fosse uma delas. Eu passava e mesmo que os guardas notassem que eu estava sem 
cracha, eles nado se importavam comigo porque eu tinha aparéncia de quem trabalhava na geréncia e 
estava com as pessoas que usavam crachas. 


Dessa experiéncia reconheci como 0 comportamento dos guardas de seguranga era previsivel. 
Assim como 0 restante de nos, eles faziam julgamentos com base em aparéncias — uma vulnerabili- 
dade séria que os engenheiros sociais aprenderam a aproveitar. 


A segunda arma psicoldgica do atacante entrou em acao quando ele observou o esforgo incomum 
que a recepcionista estava fazendo. Fazendo varias coisas ao mesmo tempo, ela nao se atrapalhou, 
mas conseguiu fazer com que todos se sentissem bem atendidos. Ele interpretou isso como um sinal 
de alguém que esta interessado em avangar e melhorar. Em seguida, quando disse que trabalhava no 
departamento de Marketing, ele observou a sua reacao, procurando pistas que indicassem que ele 
estava estabelecendo uma identificagéo com ela. E ele estava. Para o atacante isso se traduzia em 
alguém que poderia ser manipulado com uma promessa de tentar ajuda-la a conseguir um trabalho 
melhor (Obviamente, se ela quisesse trabalhar no departamento Contabil, ele diria que teria contatos 
e poderia conseguir um trabalho para ela naquele departamento.) 


Os invasores também gostam de outra arma psicolé6gica que é usada nesta hist6ria: a criagao da 
confianga com um ataque em dois estagios. Primeiro ele usou aquela conversa sobre o trabalho em 


Marketing e também usou a técnica do "namedropping" — dar 0 nome de outro empregado —, uma 
pessoa real que, por acaso, tinha o mesmo nome que ele usou. 
Recado do 


Mitnick 


A permissao para que um estranho entre em uma area onde pode conectar um laptop 
na rede corporativa aumenta o risco de um incidente de segurangca. E perfeitamente 
razoavel deixar que um empregado, particularmente de outro escritorio, verifique seus 
e-mails em uma sala de reunides, mas a menos que o visitante seja estabelecido como 
alguéem de confiancga ou que a rede esteja segmentada para evitar conexoes nao auto- 
rizadas, esse pode ser o elo mais fraco que permite que os arquivos da empresa sejam 
comprometidos. 


Ele poderia ter feito a solicitagaéo de usar uma sala de reuniOes imediatamente apds a conversa 
inicial. Mas em vez disso preferiu se sentar por algum tempo e fingir estar trabalhando, supostamente 
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enquanto esperava o seu colega, outra forma de evitar qualquer suspeita possivel porque um invasor 
nao ficaria por ali. Ele nao ficou muito tempo, porém; os engenheiros sociais sabem melhor do que 
ninguém que nao devem ficar na cena do crime além do tempo necessario. 


Pelas leis da época em que este livro foi escrito, Anthony nao havia cometido um crime quando 
entrou na recepcao. Nao havia cometido um crime quando usou 0 nome de um empregado real. Nao 
cometeu um crime quando conseguiu entrar na sala de reunides. Nao havia cometido um crime ao 
se ligar a rede da empresa e pesquisar 0 computador-alvo. Antes de realmente entrar no sistema de 
computadores, ele nao havia infringido a lei. 


BISBILHOTANDO KEVIN 


Ha muitos anos, quando trabalhava em uma empresa pequena, sempre que entrava no escrit6rio que 
compartilhava com trés outras pessoas que formavam o departamento de TI eu observava que esse 
rapaz em particular (aqui eu vou chamar de Joe) rapidamente mudava o monitor do seu computador 
para uma janela diferente. Imediatamente reconheci isso como um comportamento suspeito. Quando 
isso aconteceu duas ou mais vezes no mesmo dia. tive certeza de que algo estava acontecendo e eu 
deveria descobrir. O que esse rapaz estava fazendo e nao queria que eu visse? 


O computador de Joe agia como um terminal para acessar os minicomputadores da empresa, de 
modo que instalei um programa de monitoramento no minicomputador VAX que me permitia espiar 
o que ele estava fazendo. O programa agia como se uma camera de TV espiasse sobre 0 seu ombro e 
me mostrasse exatamente aquilo que ele estava vendo no seu computador. 


A minha mesa era préxima da do Joe; ajuste1 o meu monitor na melhor posi¢ao possivel para 
que ele nao o visse, mas ele poderia ter olhado a qualquer momento e percebido que eu o estava 
espiando. Isso nao era problema, porque ele estava tao envolvido naquilo que estava fazendo que 
nem notaria. 


O que vi fez o meu queixo cair. Eu observei, fascinado, 0 bandido chamar os dados da minha 
folha de pagamento. Ele estava olhando o meu salario! 


Na época eu trabalhava 14 ha poucos meses e achei que Joe nao suportava a idéia de que eu po- 
deria estar ganhando mais do que ele. 


Alguns minutos depois vi que ele estava fazendo o download de ferramentas de hacker que sao 
usadas pelos hackers menos experientes, que nao conhecem o suficiente de programacao para criar as 
ferramentas para si mesmos. Assim sendo, Joe nao tinha a menor idéia de que um dos hackers mais 
experientes da América estava sentado bem ao seu lado. Achei isso muito divertido. 


Ele ja tinha a informacao sobre o meu salario; assim sendo, era tarde demais para tentar impedi- 
lo. Além disso, qualquer empregado que tenha acesso por computador a Receita Federal (1RS) ou a 
Administragao do Seguro Social pode consultar 0 seu salario. Certamente eu nao queria que ele sou- 
besse que eu descobrira 0 que ele estava fazendo. O meu principal objetivo na época era ser discreto, 
e um bom engenheiro social nao anuncia as suas habilidades e 0 seu conhecimento. Vocé sempre quer 
que as pessoas o subestimem e nao que 0 vejam como uma ameaga. 


Assim sendo, deixei tudo como estava e ri sozinho porque Joe achava que sabia algum segredo 
sobre mim, quando o que acontecia era exatamente o contrario: eu tinha a ultima palavra porque sabia 
o que ele estava fazendo. 


Depois descobri que todos os meus trés colegas do grupo de TI se divertiam olhando o salario 
desta ou daquela secretdria bonitinha (no caso da Unica garota do grupo) ou daquele rapaz bonitao 
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que eles haviam descoberto. E todos estavam descobrindo o salario e os b6nus de qualquer pessoa da 
empresa sobre quem estivessem curiosos, incluindo a geréncia de primeiro escalao. 


Analisando a trapaca 


Esta histéria ilustra um problema interessante. Os arquivos da folha de pagamento podiam ser acessa- 
dos pelas pessoas que tinham a responsabilidade de manter os sistemas de computadores da empresa. 
Assim sendo, tudo era uma questao pessoal: resolver em quem confiar. Em alguns casos, a equipe de 
TI poderia achar irresistivel bisbilhotar um pouco. E eles tinham a capacidade de fazer isso porque 
tinham privilégios que lhes permitiam desviar dos controles de acesso daqueles arquivos. 


Uma medida de seguranga seria auditar todo acesso a arquivos confidenciais, tais como a folha de 
pagamento. Obviamente, todos que tinham os privilégios requisitados poderiam desativar a auditoria 
ou talvez remover todas as entradas que apontassem para eles, mas cada etapa adicional exigia mais 
esforco para ser ocultada por parte de um empregado inescrupuloso. 


EVITANDO A TRAPACA 


De virar a sua lata de lixo até enganar um guarda de seguranga ou uma recepcionista, os engenheiros 
sociais podem invadir fisicamente 0 seu espacgo corporativo. Mas vocé vai gostar de ouvir que ha 
precaucGes que vocé pode tomar. 


Protecao apos o horario de expediente 


Todos os empregados que chegam para trabalhar sem seus crachés devem parar na mesa da recep- 
cao ou no escrit6rio da seguranga para conseguir um cracha temporario a ser usado naquele dia. O 
incidente da primeira histéria deste capitulo poderia ter uma conclusao muito diferente se o guarda 
da empresa tivesse recebido um conjunto especifico de etapas a serem seguidas quando encontrasse 
alguém sem o cracha de empregado requerido. 


Nas empresas ou areas dentro de uma empresa nas quais a seguranga nao é a principal preocupa- 
cao, talvez nao faca sentido insistir para que cada pessoa mantenha um cracha visivel durante todo o 
tempo. Mas nas empresas que tém 4reas confidenciais, esse deve ser um requisito-padrao, 0 qual deve 
ser implantado com rigidez. Os empregados devem ser treinados e motivados a desafiar as pessoas 
que nao tém um cracha, e os empregados de nivel mais alto devem ser ensinados a aceitar esses desa- 
fios sem causar nenhum embara¢o para as pessoas que Os pararem. 


A politica da empresa deve avisar os empregados sobre as penalidades para aqueles que nao usam 
seus crachas; as penalidades podem incluir 0 envio do empregado para casa naquele dia sem direito 
ao pagamento ou uma anotacado no seu arquivo pessoal. Algumas empresas instituem uma série de 
penalidades progressivamente mais rigidas que podem incluir o relato do problema para o gerente da 
pessoa e, em seguida, a emissao de um aviso formal. 


Além disso, quando houver informac6es confidenciais a serem protegidas, a empresa deve esta- 
belecer procedimentos para autorizar as pessoas que precisam estar na empresa fora do expediente. 
Uma solucao seria exigir que fossem tomadas providéncias por parte da seguranca corporativa ou de 
algum outro grupo designado. Esse grupo verificaria rotineiramente a identidade de todos os empre- 
gados que ligassem pedindo uma visita fora do expediente por meio de uma liga¢4o para 0 supervisor 
daquela pessoa ou usando algum outro meio relativamente seguro. 
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Tratando o lixo com respeito 


A historia do "vira-latas" falou do mau uso do seu lixo corporativo. Os oito segredos para tratar o lixo 
com sabedoria sao: 


e Classificar todas as informag6des confidenciais com base no grau de confidencialidade. 
e Estabelecer procedimentos em toda a empresa para descartar as informagoes confidenciais. 


e Insistirem que todas as informacoes confidenciais descartadas passem primeiro pela maquina 
cortadora de papel e fornecer um modo seguro de se livrar das informa¢gOes importantes em 
pedacos de papel que sao pequenos demais e passam pela maquina. As maquinas nao devem 
ser muito baratas, as quais resultam em tiras de papel que podem ser montadas novamente por 
um atacante determinado e com paciéncia. Elas devem ser do tipo que faz cortes cruzados ou 
do tipo que transforma a saida em polpa inttil. 


e Fornecer um modo de inutilizar ou apagar completamente a midia de computador — os dis- 
quetes, discos Zip, CDs e DVDs usados para armazenar arquivos, fitas removiveis ou unida- 
des de disco rigido antigas e outras midias de computador — antes de descarta-la. Lembre-se 
de que os arquivos apagados ndo sao realmente removidos; eles ainda podem ser recuperados 
— como descobriram os executivos da Enron e muitos outros. Jogar simplesmente a midia de 
computador no lixo é um convite para o seu "vira-latas" local de plantao. (Consulte o Capitu- 
lo 16 para obter as orientagdes especificas sobre como eliminar midia e dispositivos.) 


e Manter um nivel de controle apropriado sobre a selecdo das pessoas da sua equipe de limpeza 
usando a verificagéo de antecedentes, se for apropriado. 


e Fazer com que os empregados pensem periodicamente na natureza do material que estado 
jogando no lixo. 


e Trancar os contéineres de lixo. 


e Usar contéineres separados para material confidenciai e fazer com que os materiais dispensa- 
dos sejam manuseados por uma empresa especializada nesse trabalho. 


Dizendo adeus aos empregados 


Anteriormente nds destacamos a necessidade de procedimentos rigidos quando 0 empregado de um 
departamento tiver acesso a informag6des confidenciais, senhas, nimeros de discagem e outros. Os 
seus procedimentos de seguranga precisam fornecer um modo de controlar as pessoas que tém autori- 
zacao de acesso a varios sistemas. Pode ser dificil evitar que determinado engenheiro social burle as 
barreiras da sua seguran¢a, mas nao facilite isso para um ex-empregado. 


v4 


Outra etapa que é ignorada. Quando um empregado que tinha autorizagao de recuperacao de 
fitas de backup em uma empresa de armazenamento vai embora, uma politica por escrito deve pedir 
que a empresa de armazenamento seja notificada imediatamente para remover 0 seu nome da lista de 
pessoas autorizadas. 


O Capitulo 16 deste livro fornece informagées detalhadas sobre esse assunto vital, mas é Util 
relacionar aqui algumas das principais medidas de segurancga que devem ser usadas, como deixou 
claro esta historia: 


¢ Um checklist completo das etapas a serem tomadas quando um empregado vai embora, com 
providéncias especiais para os funcionarios que tinham acesso a dados confidenciais. 
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¢ Uma politica de encerramento imediato do acesso do empregado ao computador — de prefe- 
réncia antes de a pessoa deixar o prédio. 


e Um procedimento para recuperar o cracha de identificagéo da pessoa, bem como de todas as 
chaves ou dispositivos de acesso eletrénico. 


e Medidas que exijam que os guardas da seguranga vejam o ID com foto antes de admitir qual- 
quer empregado que nfo tenha o seu passe de segurang¢a, e a verificagao do nome em uma lista 
para saber se a pessoa ainda é funciondria da organizac¢ao. 


Algumas outras etapas parecerao excessivas ou caras demais para algumas empresas, mas elas 
sao apropriadas para outras. Essas medidas de seguranga mais rigidas incluem: 


e Crachas de identificagao eletr6nica combinados com scanners nas entradas; cada empregado 
passa o seu cracha no scanner para a determinacao eletrénica instantanea de que a pessoa 
ainda é um empregado e pode entrar no prédio. (Observe, porém, que os guardas da seguranca 
precisam estar alertas para a tatica na qual uma pessoa nao autorizada entra junto com um 
empregado legitimo.) 


e Uma ordem para que todos os empregados do mesmo grupo da pessoa que esta saindo (par- 
ticularmente se a pessoa esta sendo demitida) mudem suas senhas. (Isso parece extremo? 
Muitos anos apos o curto periodo de tempo em que estive na General Telephone, soube que 
oO pessoal da seguranga da Pacific Bell, ao ouvir falar que a General Telephone havia me 
contratado, "morreu de rir". Mas para crédito da General Telephone, quando perceberam que 
tiveram um hacker conhecido trabalhando para eles, e apds me demitirem, pediram que as 
senhas de todos que trabalhavam na empresa fossem trocadas!). 


Vocé nao quer que as suas instalagdes se paregam com cadeias, mas ao mesmo tempo precisa se 
defender contra o funcionario que foi demitido ontem, mas que hoje volta com intengao de causar 
danos. 


Nao se esqueca de ninguem 


As politicas de seguranca tendem a ignorar o empregado do nivel iniciante, aquelas pessoas como as 
recepcionistas, que nao lidam com informacoes corporativas confidenciais. Ja vimos que as recep- 
cionistas sao um alvo Util para os atacantes, e a histéria da invasao da empresa de autopecas fornece 
outro exemplo: uma pessoa amistosa, vestida com um profissional que alega ser um empregado de ou- 
tro escrit6rio da organiza¢ao pode n4o ser o que parece. As recepcionistas precisam ser bem treinadas 
sobre como pedir educadamente o ID da empresa quando for apropriado, e o treinamento precisa 
incluir nao apenas a recepcionista principal, mas também todos os que se sentam na recepcao para 
descansar no horario de almoco ou nos intervalos. 


Para os visitantes de fora da empresa, a politica deve exigir que um ID com foto seja mostrado e 
as informagées sejam registradas. Nao é dificil obter um ID falso, mas pelo menos a exigéncia de um 
ID complica um pouco mais as coisas para um pretenso atacante. 


Em algumas empresas é l6gico seguir uma politica que requer que os visitantes sejam acom- 
panhados da recepcao e de uma sala de reuniao para outra. Os procedimentos devem exigir que o 
acompanhante deixe claro quando entregar o visitante no seu primeiro compromisso que essa pessoa 
entrou no prédio como empregado ou nao empregado. Por que isso é importante? Porque como vimos 
nas historias anteriores, um atacante quase sempre se faz passar por alguém para a primeira pessoa 
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que ele encontrou e por outro alguém para a pr6xima pessoa que encontra. E facil para um atacante 
aparecer na recepgao, convencer a recepcionista de que tem um compromisso com um engenheiro, 
por exemplo, e depois ser acompanhado até o escrit6rio do engenheiro, onde diz ser um representante 
de uma empresa que quer vender algum produto para a empresa e, entao, apds a reuniéo com 0 enge- 
nheiro, ele tem acesso livre para perambular pelo prédio. 


Antes de admitir um empregado de outro escritério nas instalagdes da empresa, devem ser segui- 
dos procedimentos adequados para verificar se a pessoa é verdadeiramente um empregado. As recep- 
cionistas e os segurangas devem conhecer os métodos usados pelos atacantes para usar a identidade 
de um empregado e ter acesso aos prédios da empresa. 


Como se proteger contra 0 atacante que consegue entrar dentro do prédio e ligar o seu laptop em 
uma porta de rede atras do firewall corporativo? Dada a tecnologia atual, isso é um desafio: salas de 
reuniao, salas de treinamento e dreas similares nao devem deixar as portas de rede sem seguranga, 
mas devem protegé-las com firewalls ou roteadores. Entretanto, a melhor protegao vem do uso de um 
método seguro de autenticar todos os usuarios que se conectam 4a rede. 


TI segura! 


Um conselho: na sua propria empresa, cada funcionario de TI provavelmente sabe ou pode descobrir 
em momentos quanto vocé esta ganhando, quanto o CEO recebe e quem esta usando o jatinho corpo- 
rativo para ir esquiar nas férias. 


Em algumas empresas é até mesmo possivel que 0 pessoal de TI ou o pessoal da contabilidade 
aumente os proprios saldrios, faga pagamentos para um fornecedor falso, remova as classificagdes 
negativas dos registros do RH e assim por diante. As vezes, apenas 0 medo de ser pego os mantém 
honestos... e chega um dia em que alguém cujo é6dio ou desonestidade natos faz com que ele ignore o 
risco e faga tudo que acha que pode fazer. 


E claro que existem solucgées. Os arquivos confidenciais podem ser protegidos com controles de 
acesso adequados para que apenas 0 pessoal autorizado possa abri-los. Alguns sistemas operacionais 
tém controles de auditoria que podem ser configurados para manter um registro de determinados 
eventos, tais como cada pessoa que tenta acessar um arquivo protegido, independentemente da ten- 
tativa ter ou nao sucesso. 


Se a sua empresa entendeu essa questao e implementou controles de acesso adequados e auditorias 
que protegem os arquivos confidenciais, entao vocé esta tomando medidas poderosas na dire¢ao certa. 


tee i GG & Ge ee 


Combinando a Tecnologia 
e a Engenharia Social 


m engenheiro social vive da sua capacidade de manipular as pessoas para que elas fagcam 
coisas que 0 ajudem a atingir o seu objetivo, mas o sucesso quase sempre requer uma grande 
dose de conhecimento e habilidade com os sistemas de computador e telefonia. 


Esta € uma amostragem dos golpes da engenharia social nos quais a tecnologia teve um papel 
importante. 


O HACKING ATRAS DAS GRADES 


Quais séo algumas das instalagdes mais seguras que vocé consegue imaginar, protegidas contra in- 
vas6es, sejam elas de natureza fisica, de telecomunicag¢Oes ou eletrénicas? Fort Knox? Nao. A Casa 
Branca? Também nao. NORAD, a instalacdo da defesa norte-americana enterrada nas profundezas de 
uma montanha? Certamente que nao. 


E as pris6es e os centros de detengao federais? Eles devem ser tao seguros quanto qualquer outro 
lugar do pais, certo? As pessoas raramente escapam, e quando conseguem, normalmente sao presas 
logo. Vocé deve achar que uma instalacao federal nao esta vulnerdvel aos ataques da engenharia so- 
cial. Mas esta errado — nao existe seguranga a toda a prova em lugar algum. 


Ha alguns anos, uma dupla de grifters (trapaceiros profissionais) estava com um problema. 
Acontece que eles haviam roubado uma grande soma em dinheiro de um juiz local. A dupla ja era 
procurada pela lei ha muito tempo, mas desta vez as autoridades federais se interessaram pelo caso. 
Elas pegaram um dos grifters. Charles Gondorff, e 0 colocaram em um centro correcional perto de 
Sao Diego. O magistrado federal ordenou que ele fosse detido como um criminoso frio e um perigo 
para a comunidade. 


O seu colega Johnny Hooker sabia que Charlie ia precisar de um bom advogado de defesa. Mas 
de onde viria 0 dinheiro para paga-lo? Assim como a maioria dos grifters, o seu dinheiro sempre havia 
sido gasto em roupas boas, carros novos e mulheres assim que era ganho. Johnny raramente tinha o 
suficiente para viver. 


O dinheiro para pagar um bom advogado teria de vir de outro golpe. Johnny nao podia fazer isso 
por conta propria. Charlie Gondorff sempre havia sido o cérebro de seus golpes. Mas Johnny nao se 
atrevia a visitar o centro de deten¢ao para perguntar a Charlie o que deveria fazer, nao agora que os 
federais sabiam que havia dois homens envolvidos no golpe e estavam loucos para pegar o outro. Da 
mesma forma, apenas a familia podia visita-lo, e isso significava que ele teria de mostrar uma iden- 
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tificagao falsa e dizer ser um membro da familia. Tentar usar um ID falso em uma prisdo federal nao 
parecia ser uma idéia muito inteligente. 


Nao, ele teria de entrar em contato com Gondorff de outra maneira. Isso nao seria facil. Nenhum 
recluso de qualquer prisao federal, estadual ou municipal pode receber liga¢gdes telefOnicas. Uma pla- 
ca colocada ao lado de cada telefone de um centro de detengao federal diz algo do tipo "Todas as con- 
versacdes feitas neste telefone estéo sujeitas a monitoramento e o uso do telefone é considerado 
consentimento com o monitoramento". Ter os oficiais do governo ouvindo as suas ligacoes telef6ni- 
cas enquanto se comete um crime é um modo de aumentar os seus planos de férias financiados pelo 
governo federal. 


Johnny sabia, porém, que determinadas ligacdes telef6nicas néo eram monitoradas: as liga- 
¢des entre um prisioneiro e seu advogado, as quais sao protegidas pela Constituigao como comu- 
nicacoes entre cliente e advogado, por exemplo. Na verdade, a prisao onde estava Gondorff tinha os 
telefones conectados diretamente ao Escritério do Defensor Publico. Escolha um daqueles telefones 
e uma conex4o direta é estabelecida com o telefone correspondente do EDP. A empresa de telefonia 
chama isso de Conexdo Direta. As autoridades desavisadas supdem que 0 servico é seguro e invul- 
neravel porque as ligac6es feitas s6 podem ir para a Defensoria Publica, e as ligagdes recebidas sao 
bloqueadas. Mesmo que alguém pudesse de alguma maneira encontrar o nimero do telefone, eles 
estariam programados na empresa de telefonia para negar encerramento, 0 qual é uma expressao 
complicada da empresa de telefonia para descrever 0 servico no qual as liga¢gdes recebidas nao sao 
permitidas. 


Como todo grifter meio decente conhece bem a arte da fraude, Johnny descobriu que tinha de 
haver um modo de contornar esse problema. La dentro Gondorff ja havia tentado pegar um dos telefo- 
nes do EDP e dizer: "Aqui é Tom, do centro de reparos da empresa de telefonia. Estamos executando 
um teste nessa linha e preciso que vocé tente discar nove, zero e zero." O nove acessaria uma linha 
externa, 0 zero, zero ligaria para uma telefonista de interurbano. Isso nao funcionou — a pessoa que 
atendeu ao telefone no EDP ja conhecia esse truque. 


Johnny estava com mais sorte. Ele descobriu rapidamente que havia dez unidades no centro de 
deten¢ao, cada uma com uma linha telefOnica direta para o Escritério do Defensor Publico. Johnny 
encontrou alguns obstaculos, mas como um bom engenheiro social que era, ele p6de pensar em mo- 
dos de contornar esses empecilhos aborrecedores. Em qual unidade estava Gondorff? Qual era o nt- 
mero de telefone dos servicos de conex4o direta daquela unidade? E como poderia mandar um recado 
inicial para Gondorff sem que ele fosse interceptado pelos agentes penitenciarios? 


O que parece ser impossivel para a maioria das pessoas, como obter os numeros secretos dos te- 
lefones localizados nas instituigdes federais, quase sempre esta a algumas ligac6es telef6nicas de um 
verdadeiro golpista. Apés algumas noites sem dormir criando um plano, Johnny acordou uma manha 
com todo o plano tragado em sua mente. Esse plano tinha cinco etapas. 


CONEXAO DIRETA A expressdo da empresa de telefonia para uma linha telefénica que 
vai diretamente para um numero especifico quando o telefone é tirado do gancho. 
NEGAR ENCERRAMENTO Uma opg¢ao de servico da empresa de telefonia na qual o 


equipamento de comutacao é definido para que as ligacoes nao possam ser recebidas 
naquele numero de telefone. 
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Primeiro, ele encontraria os nimeros de telefone daqueles dez telefones de conexao direta com 
o EDP. 


Mudaria todos os dez para que os telefones também pudessem receber ligacoes. 
Descobriria em qual unidade estava Gondorff. 
Em seguida, descobriria qual numero de telefone ia para aquela unidade. 


Finalmente, combinaria com Gondorffum momento para ele esperar a sua ligacaéo, sem que o 
governo suspeitasse de nada. 


Muito facil, ele pensou. 


Ligue para mim... 


Johnny comegou ligando para o escrit6rio comercial da empresa de telefonia sob o pretexto de ser 
da Administragao de Servicos Gerais, a agéncia responsavel pela compra dos bens e servi¢os para o 
governo federal. Ele disse que estava trabalhando em um pedido de aquisicao de servicos adicionais 
e precisava das informagdes de faturamento dos servigos de conex4ao direta usados no momento, 
incluindo os nimeros de telefones e 0 custo mensal do centro de detencgao de Sao Diego. A senhora 
ficou feliz em ajudar. 


S6 para ter certeza, tentou discar para uma daquelas linhas e obteve a gravacAo tipica: "Esta linha 
foi desligada ou esta fora de servig¢o no momento" — o que ele sabia que nao significava nada além 
de que a linha estava programada para bloquear as ligac6es recebidas. 


Ele sabia com o seu amplo conhecimento das opera¢coes e dos procedimentos da empresa de tele- 
fonia que precisava falar com um departamento chamado Centro de Autorizagao de Meméoria de 
Alteragdes Recentes ou RCMAC (sempre me pergunto quem sera que inventa esses nomes!). Ele 
comegou ligando para o Escritério de Negécios da empresa de telefonia. Disse que era de Consertos 
e precisava do numero do RCMAC gue tratava da area de servico do cédigo de area e prefixo que ele 
tinha, o qual era atendido pelo mesmo escrit6rio central de todas as linhas telefOnicas do centro de 
detencao. Essa era uma solicitacgao de rotina, o tipo de informagao fornecida aos técnicos que estao de ser- 
vico e precisam de auxilio, e o operador nao hesitou em lhe dar o nimero. 


Ele ligou para o RCMAC, deu um nome falso e repetiu que trabalhava em Consertos. Quem 
atendeu foi a senhora que deu os numeros de telefone do centro de deten¢ao algumas ligac¢6es antes. 
Quando ela atendeu, Johnny perguntou: "Esse é 0 nimero configurado para negar encerramento?" 


"Sim", ela disse. 


"Bem, isso explica por que o cliente nao consegue receber ligacoes!", afirmou Johnny. "Ouga, 
vocé pode me fazer um favor? Preciso mudar 0 cédigo de classe da linha ou remover o recurso para 
negar encerramento, tudo bem?" Houve uma pausa enquanto ela verificava outro sistema de com- 
putador para saber se um pedido de servico havia sido feito para autorizar a mudanga. Ela explicou: 
"Esse numero deve estar restrito apenas para as ligacoes feitas. Nao ha nenhuma ordem de servi¢o 
para uma mudanga." 


"Certo, mas ha um erro. Deviamos ter processado 0 pedido ontem, mas o representante normal 
da conta que trata desse cliente ficou doente e esqueceu de passar o pedido para outra pessoa. Assim 
sendo, agora é claro que o cliente esta reclamando." 


Apos alguns momentos enquanto a senhora pensava na solicitag4o, 0 que iria contra os procedi- 
mentos operacionais padrao e comuns, ela disse: "OK". Ele a ouviu digitando a alteracao. E alguns 
segundos depois estava tudo pronto. 
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O gelo havia sido quebrado, um tipo de cumplicidade havia sido estabelecido entre os dois. Len- 
do a atitude e disposi¢ao da mulher em ajudar, Johnny nao hesitou em se aproveitar. Ele disse: "Vocé 
tem alguns minutos mais para me ajudar?" 


"Sim", ela respondeu. "Do que vocé precisa?" 


"Tenho algumas outras linhas do mesmo cliente, e todas estao com 0 mesmo problema. Vou ler 
Os numeros para vocé conferir se eles nao estao configurados para negar encerramento — tudo bem?" 
Ela disse que estava tudo bem. 


Alguns minutos depois, todas as dez linhas telefOnicas haviam sido "consertadas" para receber 
ligagoes. 


Encontrando Gondorff 


A seguir, ele precisava encontrar em qual alojamento estava Gondorff. Essas sAo aquelas informac6es 
que o pessoal que administra os centros de detengao e as prisOes nao quer que pessoas de fora saibam. 
Novamente Johnny teve de depender das suas habilidades de engenheiro social. 


Ele fez uma ligacgao para a prisdo federal de outra cidade — ligou para Miami, mas qualquer 
outra prisdo serviria — e disse que estava ligando do centro de detengado de Nova York. Ele pediu 
para falar com alguém que trabalhasse no computador Sentry do Bureau, o sistema de computadores 
que contém as informacoes sobre todos os prisioneiros de uma instalagaéo do Bureau de PrisOes em 
qualquer lugar do pais. 


Quando aquela pessoa atendeu, Johnny caprichou no seu sotaque do Brooklyn. "Oi", ele come- 
cou. "Aqui é Thomas do FDC Nova York. A nossa conexaéo com o Sentry esta caindo, vocé pode 
encontrar a localiza¢gao de um prisioneiro para mim, acho que ele pode estar na sua institui¢ao", e deu 
oO nome e o nimero de registro de Gondorff. 


"Nao, ele nao esta aqui", 0 rapaz respondeu apos alguns momentos. "Ele esta no centro correcio- 
nal de Sao Diego." 


Johnny fingiu estar surpreso. "S40 Diego! Ele deveria ter sido transferido para Miami na semana 
passada! Sera que estamos falando da mesma pessoa — qual é a data de nascimento dele?" 


"3/12760", o homem leu na sua tela. 
"Sim, €0 mesmo. Em qual alojamento ele esta?" 


"Ele esta no Dez Norte", disse o homem — respondendo a pergunta, muito embora nao houvesse 
nenhum motivo para que um empregado de uma prisao de Nova York precisasse saber disso. 


Johnny agora tinha os telefones acionados para receber ligagdes e sabia em qual unidade 
estava Gondorff. A seguir, tinha de descobrir qual nimero de telefone estava conectado a unida- 
de Dez Norte. 


Essa etapa era um pouco mais dificil. Johnny ligou para um dos numeros. Ele sabia que a campai- 
nha estaria desligada e ninguém saberia que ele estava tocando. Assim sendo, ficou 14 sentado lendo 
oO guia de viagem Grandes Cidades da Europa enquanto ouvia o sinal constante no fone de ouvido 
até que finalmente alguém atendeu. O interno do outro lado, obviamente, estava tentando falar com o 
seu advogado. Johnny estava preparado com a resposta esperada. "Escrit6rio do Defensor Publico", 
ele anunciou. 


Quando o homem pediu para falar com o seu advogado, Johnny disse: "Vou ver se ele esta dis- 
ponivel, de qual alojamento vocé esta ligando?". Ele anotou a resposta do homem, colocou a liga¢ao 
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em espera e voltou apds meio minuto com a resposta: "Ele esta no tribunal, vocé tera de ligar mais 
tarde", e desligou. 


Ele havia passado uma boa parte da manha, mas poderia ter sido pior; a sua quarta tentativa caiu 
no Dez Norte. Assim sendo, Johnny agora tinha o nimero de telefone com o EDP da unidade onde 
estava Gondorff. 


Sincronizem seus relogios 


Agora ele precisava mandar um recado para Gondorff dizendo para atender o telefone que conecta os 
internos diretamente com o Escritorio do Defensor Publico. Isso era mais facil do que parecia. 


Johnny ligou para o centro de detencao usando a sua voz "oficial", identificou-se como um 
empregado e pediu para ser transferido para o Dez Norte. A ligacgaéo foi completada imediatamente. 
Quando o oficial atendeu, Johnny o enganou usando a abrevia¢ao interna para Receber e Liberar, a 
unidade que processa os novos internos e libera aqueles que estéo sendo soltos: "Aqui é Tyson do 
R&L", ele disse. "Preciso falar com o interno Gondorff. Temos alguns pertences dele e precisamos 
que ele nos dé 0 endereco para onde envia-los. Vocé pode chama-lo para mim ao telefone?" 


Johnny ouviu o guarda gritando na sala de atividades didrias. Apos varios minutos de impacién- 
cia, uma voz familiar atendeu. 


Johnny disse: "Nao diga nada até eu explicar do que se trata". Ele explicou a desculpa para que 
Johnny pudesse fingir que eles estavam discutindo para onde mandar os seus pertences. Johnny en- 
tao prosseguiu: "Se vocé puder pegar o telefone com o Defensor Publico a uma da tarde hoje, nao 
responda. Se nao puder, entao diga uma hora que vocé estara 14." Gondorff nao respondeu. Johnny 
continuou: "Bom. Esteja 14 as treze horas. Vou ligar. Pegue o telefone. Se comegar acair no Escrit6ério 
dos Defensores Publicos, desligue e ligue a cada vinte segundos. Continue tentando até me ouvir do 
outro lado." 


As treze horas Gondorff pegou o telefone e Johnny estava 14 esperando por ele. Eles conversaram 
animadamente e sem pressa, 0 que levou a uma série de ligacdes semelhantes para planejar 0 golpe 
que levantaria o dinheiro para pagar os honorarios do advogado de Gondorff— tudo sem que o go- 
verno soubesse. 


Analisando a trapaca 


Esse episodio oferece um bom exemplo de como um engenheiro social pode fazer 0 que parece ser 
impossivel acontecer enganando diversas pessoas, cada uma fazendo uma coisa que sozinha parece 
nao ter conseqiiéncias. Na verdade, cada agao fornece uma pequena parte do quebra-cabe¢a até que 
0 golpe esteja completo. 


A primeira funciondria da empresa de telefonia pensou que estava dando as informacg6es para 
alguém do Escrit6rio de Contabilidade Geral do governo federal. A proxima funcionaria da empresa 
de telefonia sabia que nao devia mudar a classe do servico telef6nico sem uma ordem de servi¢co, mas 
ajudou o homem amistoso de qualquer maneira. Isso possibilitou fazer ligagdes de todas as dez linhas 
telef6nicas que ligam para o defensor publico no centro de deten¢ao. 


Para o homem do centro de detengao de Miami, a solicitagao de ajudar alguém de outra unidade 
federal com um problema de computador pareceu algo perfeitamente razodvel. E embora nao houves- 
se nenhum motivo para ele saber a unidade do alojamento, por que nao responder a pergunta? 
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E o guarda do Dez Norte, que acreditava que o interlocutor estava falando realmente de dentro 
da mesma instalacao, ligando em miss4o oficial? Essa era uma solicitagao perfeitamente razoavel, de 
modo que ele chamou o interno Gondorff para atender ao telefone. Nada muito fora do comum. 


Uma série de hist6rias bem planejadas que resultaram na conclusao do golpe. 


O DOWNLOAD MAIS RAPIDO 


Dez anos apos ter terminado a faculdade de Direito, Ned Racine via seus colegas de classe morando 
em belas casas com jardins na frente, associados de country clubs, jogando golfe uma ou duas vezes 
por semana, enquanto ele ainda estava cuidando de causas baratas para o tipo de pessoa que nunca 
tinha dinheiro suficiente para pagar a conta. O ciime pode ser uma ma companhia. Finalmente, um 
dia Ned ficou farto daquilo tudo. 


O unico bom cliente que ja tivera era uma empresa de contabilidade pequena, mas bem-sucedida, 
especializada em incorpora¢Oes e aquisigdes. HA muito tempo eles nao usavam os servicos de Ned, 
o suficiente para ele perceber que eles estavam envolvidos em negécios que, depois de chegarem aos 
jornais, afetariam o preco das acgdes de uma ou duas empresas publicas. As agdes valiam pouco, mas 
de alguma maneira isso era melhor ainda — um pequeno aumento no preco representaria uma grande 
porcentagem de lucro sobre 0 investimento. Se ele pudesse acessar seus arquivos e descobrir no que 
eles estavam trabalhando... 


Ele conhecia um homem que tinha experiéncia em coisas que nao seguem exatamente o proce- 
dimento padrao. O homem ouviu o plano, interessou-se e concordou em ajudar. Por uma taxa mais 
baixa do que aquela que é cobrada normalmente, mais uma porcentagem sobre as agdes de Ned. o 
homem deu as instrugdes sobre o que ele deveria fazer. Ele também lhe deu um conselho util, algo 
totalmente novo no mercado. 


Durante alguns dias seguidos, Ned observou o estacionamento onde a pequena empresa de 
contabilidade tinha o despretensioso escrit6rio do tipo loja. A maioria das pessoas saia entre 17h30 
e 18h. As 19h 0 estacionamento estava vazio. O pessoal da limpeza aparecia por volta das 19h30. 
Perfeito! [ 


Na noite seguinte, alguns minutos antes das 20h, Ned estacionou do outro lado da rua em frente 
ao estacionamento. Como esperava, 0 estacionamento estava vazio, exceto pelo caminhao da empresa 
de servicos de limpeza. Ned colocou o ouvido na porta e ouviu o aspirador de p6é funcionando. Ele 
bateu na porta com for¢a e ficou esperando em seu terno e gravata e segurando a pasta. Nenhuma 
resposta, mas ele era paciente. Ele bateu novamente. Um homem do pessoal da limpeza finalmente 
apareceu. "Oi", Ned gritou pela porta de vidro, mostrando o cartao de visitas de um dos sécios que ele 
havia pego algum tempo antes. "Tranquei as minhas chaves no carro e preciso ir até a minha mesa." 


O homem abriu a porta, trancou-a novamente depois que Ned entrou e passou pelo corredor 
acendendo as luzes para que Ned pudesse ver aonde estava indo. E por que nao — ele estava sendo 
gentil com uma das pessoas que o ajudava a colocar comida na mesa. Ou pelo menos ele tinha todos 
OS motivos para pensar isso. 


Ned sentou-se no computador de um dos socios e o ligou. Enquanto 0 computador inicializava, 
ele instalou 0 pequeno dispositivo na porta USB do computador, um dispositivo suficientemente pe- 
queno para ser transportado em um chaveiro, mas capaz de conter mais de 120 megabytes de dados. 
Ele se conectou a rede usando 0 nome de usuario e a senha da secretaria do sécio, os quais estavam 
convenientemente escritos em uma anotacao colada na tela. Em menos de cinco minutos, Ned havia 


Capitulo 11 Combinando a Tecnologia e a Engenharia Social 14 


descarregado todas as planilhas e arquivos de documentos armazenados na estacao de trabalho e no 
diretorio de trabalho do sécio e foi para casa. 


Recado do 


Os espidoes industriais e invasores de computador eventualmente fazem uma entrada 
fisica na empresa-alvo. Em vez de usar um pé de cabra para quebrar a porta, o enge- 
nheiro social usa a arte da fraude para influenciar a pessoa que esta do outro lado da 
porta para abri-la para ele. 


DINHEIRO FACIL 


Quando fui apresentado aos computadores pela primeira vez no colégio, tinhamos de nos conectar 
por modem a um minicomputador DEC PDP 11 no centro da cidade de Los Angeles. Todos os colé- 
gios de Los Angeles compartilhavam desse mesmo minicomputador. O sistema operacional daquele 
Computador se chamava RSTS/E e esse foi 0 primeiro sistema operacional com o qual aprendi a 
trabalhar. 


Naquela época, em 1981, a DEC patrocinava uma conferéncia anual para seus usuarios de pro- 
duto, e um ano li que a conferéncia seria realizada em Los Angeles. Uma revista conhecida para os 
usuarios desse sistema operacional trazia um anuncio sobre um novo produto de seguranga, o LOCK- 
11. O produto era promovido com uma campanha publicitaria inteligente que dizia algo do tipo "Sao 
3h30 da manha e Johnny, do final da rua, descobriu 0 seu numero de discagem. 555-0336, na sua 336’. 
tentativa. Ele esta dentro e vocé esta fora. Use o LOCK-11". O antncio sugeria que o produto era a 
prova de hackers. E ele seria exibido na conferéncia. 


Eu estava ansioso para ver o produto. Um colega e amigo do colégio, Vinny, meu parceiro de 
hacking durante varios anos e que se tornou mais tarde um informante dos federais contra mim, com- 
partilhava do meu interesse no novo produto da DEC e me incentivou a ir a conferéncia com ele. 


Dinheiro on-line 


Chegamos 14 e encontramos um grande movimento das pessoas que estavam na feira ao redor do 
LOCK-11. Parece que os desenvolvedores estavam apostando dinheiro on-line para ver quem conse- 
guia quebrar a seguranga do produto. Esse parecia um desafio ao qual eu nao poderia resistir. 


Fomos direto ao stand do LOCK-11 e encontramos os trés desenvolvedores do produto. Eu os 
reconheci e eles me reconheceram —- mesmo adolescente eu ja tinha fama de phreaker e hacker 
por causa de um artigo que o LA Times havia publicado sobre meu primeiro contato juvenil com as 
autoridades. O artigo relatava que eu havia entrado no prédio da Pacific Telephone no meio da noite 
e tirado manuais de computadores, bem debaixo do nariz dos guardas de seguranga. (Parece que o 
Times queria criar uma histéria sensacionalista e a publicagao do meu nome servia para isso; como 
eu era ainda um adolescente, o artigo violou a pratica, senao a lei, de nao-divulgagao dos nomes dos 
menores acusados de infrac¢6es.) 


Quando Vinny e eu chegamos, isso criou um certo interesse de ambos os lados. Havia um in- 
teresse da parte deles porque eles me reconheceram como o hacker sobre quem haviam lido e eles 
estavam um pouco chocados em me ver. Isso criou um interesse também da nossa parte, porque cada 
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um dos trés desenvolvedores eslava 14 com uma nota de US$ 100 pendurada no cracha da exposi¢4o. 
O prémio em dinheiro total para todos que pudessem invadir seu sistema seria de US$ 300 — o que 
parecia bastante dinheiro para uma dupla de adolescentes. Mal podiamos esperar para comegar. 


O LQCK-11 foi criado com base em um principio estabelecido que dependia de dois niveis de 
seguran¢a. Um usuario precisava ter um ID e uma senha valida, como sempre, mas 0 ID e a senha sé 
funcionariam quando fossem inseridos em terminais autorizados, uma abordagem chamada de segu- 
ranca baseada em terminal. Para burlar 0 sistema, um hacker precisaria nao apenas ter um ID de con- 
ta e uma senha, mas também teria de inserir essas informa¢6es no terminal correto. O método estava 
bem estabelecido e os inventores do LOCK-11 estavam convencidos de que isso manteria as pessoas 
mas de fora. Nés resolvemos que irfamos ensinar uma li¢cao para eles e embolsar as 300 pratas. 


Um rapaz que eu conhecia e que era considerado um guru do RSTS/E ja havia nos derrotado. 
Anos antes ele tinha me desafiado a entrar no computador interno de desenvolvimento da DEC, e 
depois disso seus colegas me entregaram. Desde aquela época ele havia se tornado um programador 
respeitado. Nos descobrimos que ele havia tentado burlar 0 programa de segurangca LOCK-11 pouco 
antes de chegarmos, mas nao conseguiu. O incidente havia dado aos desenvolvedores mais seguranca 
de que o seu produto realmente era seguro. 


O concurso era um grande desafio: vencer 0 sistema de seguranga e levar o dinheiro. Um bom 
golpe publicitario... a menos que alguém conseguisse e levasse 0 dinheiro. Eles tinham tanta certeza 
de que o seu produto era seguro que até se atreveram a afixar no stand uma lista com os numeros e 
senhas de algumas das contas do sistema. E nao apenas as contas comuns, mas também as contas 
privilegiadas. 


Na verdade, isso era menos audacioso do que parecia. Eu sabia que nesse tipo de configura¢ao 
cada terminal esta conectado a uma porta do proprio computador. Nao era preciso ser um cientista 
aeroespacial para descobrir que eles haviam configurado cinco terminais na sala de reunides para 
que um visitante fizesse a conex4o apenas como um usuario nao privilegiado — ou seja, os logins 
s6 eram possiveis para as contas que nao tinham privilégios de administradores de sistemas. Parecia 
que havia apenas duas rotas: desviar totalmente do software de seguranca — exatamente aquilo que 
o LOCK-11 deveria evitar, ou burlar o software de alguma maneira que os desenvolvedores nao 
haviam imaginado. 


Aceitando o desafio 


Vinny e eu fomos dar uma volta para conversar sobre o desafio e voltamos com um plano. Ficamos 
por ali inocentemente e vigiamos o stand a distancia. Na hora do almogo, quando o movimento 
diminuiu, os trés desenvolvedores se aproveitaram do intervalo e safram juntos para comer alguma 
coisa, deixando 14 uma mulher que poderia ser a mulher ou namorada de um deles. N6s voltamos e eu 
distrai a mulher, conversando com ela sobre varias coisas como "Ha quanto tempo vocé trabalha na 
empresa?", "Quais outros produtos a sua empresa vende?" e assim por diante. 


SEGURANCA BASEADA EM TERMINAL A seguranga baseada em parte na identifi- 
cacao do terminal de computador especifico que esta sendo usado. Esse método de 
seguranca era particularmente conhecido nos computadores mainframe da IBM. 
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Nesse meio tempo, Vinny, que estava fora da sua linha de visao, estava trabalhando, usando 
uma habilidade que nos dois haviamos desenvolvido. Além do fascinio por invadir computadores e 
do meu proprio interesse em magica, uma coisa que sempre nos interessou fol aprender como abrir 
cadeados. Quando crianga, eu havia percorrido as prateleiras de uma livraria obscura no Vale de Sao 
Fernando, que tinha livros sobre como abrir cadeados, livrar-se de algemas, criar identidades falsas 
— todo o tipo de coisas que uma crian¢a nao deveria saber. 


Assim como eu, Vinny havia praticado 0 arrombamento de cadeados até ficarmos muito bons nos 
cadeados comuns que se compram nas lojas de ferragens. Certa vez me diverti encontrando alguém 
que usava dois cadeados como uma medida extra de protecao. Eu troquei os cadeados de lugar, o que 
iritaria e frustraria o proprietario quando ele tentasse abrir cada um deles com a chave errada. 


No recinto de exposigdes eu continuava distraindo a mulher enquanto Vinny se esgueirava na 
parte de tras do stand para nao ser visto e pegava o cadeado do gabinete que abrigava o seu mini- 
computador PDP-11 e os terminais dos cabos. Dizer que 0 gabinete estava trancado era quase piada. 
Ele estava fechado com aqueles cadeados chamados de cadeado de biscoito, evidentemente faceis de 
abrir até mesmo para arrombadores amadores como nos. 


Vinny precisou de apenas um minuto para abrir 0 cadeado. Dentro do gabinete ele encontrou o 
que havia previsto: a fila de portas para conectar os terminais de usuarios e uma porta para aquele que 
era chamado de terminal da console. Esse era 0 terminal usado pelo operador do computador ou ad- 
ministrador do sistema para controlar todos os computadores. Vinny conectou o cabo que ia da porta 
da console até um dos terminais da feira. 


Isso significava que esse terminal agora era reconhecido como o terminal da console. Eu me 
sentel na maquina com os cabos novos e me conectei usando uma senha que os desenvolvedores 
haviam fornecido. Como o software LOCK-11 agora identificava que eu estava me conectando de 
um terminal autorizado, ele me concedeu 0 acesso e eu estava conectado com privilégios de adminis- 
trador de sistema. Fiz 0 patch do sistema operacional para que eu pudesse me conectar como usuario 
privilegiado de qualquer terminal do local. 


Depois que 0 meu patch secreto estava instalado, Vinny voltou a trabalhar desconectando 0 cabo 
de terminal e conectando-o de volta no lugar onde ele estava originalmente. Em seguida pegou o 
cadeado mais uma vez, desta vez para trancar a porta do gabinete. 


Pedi uma listagem de diret6rios para saber quais arquivos havia no computador, procurei 0 progra- 
ma LOCK-11 e os arquivos associados e encontrei algo que achei chocante: um diret6rio que nao de- 
veria estar naquela maquina. Os desenvolvedores estavam tao confiantes, tao certos de que seu 
software era invencivel que nem se importaram em remover o cédigo-fonte do novo produto. Fui até 
oO terminal de impressdo ao lado e comecei a imprimir partes do cédigo-fonte nas folhas de formulario 
continuo com listras verdes que eram usadas naquela época. 


Vinny havia acabado de fechar 0 cadeado e tinha se juntado a mim quando os desenvolvedores 
voltaram do almocgo. Eles me encontraram sentado no computador digitando enquanto a impressora 
continuava trabalhando. "O que vocé esta fazendo, Kevin?", um deles me perguntou. 


"Ah, s6 estou imprimindo o seu cédigo-fonte", respondi. Eles pensaram, é claro, que eu estava 
brincando. Até que olharam a impressora e viram que aquilo realmente era o cédigo-fonte tao bem 
guardado do seu produto. 


Eles nao acreditaram que eu estivesse conectado como usuario privilegiado. "Digite um Control- 
T", ordenou um dos desenvolvedores. Eu fiz isso. A tela confirmou o que eu disse. O rapaz comecou 
a bater na cabeca enquanto Vinny pedia: "Os US$ 300, por favor". 
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Recado do 


Mitnick. 


Este é outro exemplo de pessoas inteligentes que subestimam o inimigo. E vocé? Vocé 
tem tanta certeza de que a sua empresa esta segura a ponto de apostar US$300 como 
um atacante nao pode invadi-la? As vezes 0 modo de contornar um dispositivo de se- 
guranca nao é aquele que se espera. 


Eles pagaram. Vinny e eu caminhamos pela exposicao no restante do dia com as notas de US$ 
100 pregadas em nossos crachas da conferéncia. Todos que viam as notas sabiam o que elas repre- 
sentavam. 


Obviamente, Vinny e eu burlamos o software deles, e se a equipe de desenvolvedores tivesse 
pensado em definir regras melhores para 0 concurso, se tivessem usado um cadeado realmente seguro 
ou se tivessem tomado conta do seu equipamento com mais cuidado nao teriam sofrido aquela humi- 
Ihagao naquele dia — a humilhacao sofrida pelas maos de dois adolescentes. 


Mais tarde descobri que a equipe de desenvolvedores teve de ir ao banco para tirar dinheiro: 
aquelas notas de US$ 100 eram todo o dinheiro que tinham com eles para gastar. 


O DICIONARIO COMO UMA ARMA DE ATAQUE 


Quando alguém consegue a sua senha, essa pessoa pode invadir 0 seu sistema. Na maior parte dos 
casos, vocé nem sabe que alguma coisa ruim aconteceu. 


Um atacante jovem que chamarei de Ivan Peters tinha como alvo recuperar o cédigo-fonte de 
um novo jogo eletrénico. Ele nao teve problemas para entrar na rede remota da empresa, porque um 
colega hacker ja havia comprometido um dos servidores Web da empresa. Apos encontrar uma vulne- 
rabilidade sem patch no software do servidor Web, esse colega quase caiu da cadeira quando percebeu 
que o sistema havia sido configurado como host dual-homed, 0 que significa que ele tinha um ponto 
de entrada para a rede interna. 


Depois que Ivan se conectou, ele enfrentou um desafio que era como estar dentro do Louvre e 
esperar encontrar a Mona Lisa. Sem a planta do local vocé pode passar semanas perambulando. A 
empresa era global, com centenas de escritérios e milhares de servidores de computador, e eles nao 
forneciam um indice dos sistemas de desenvolvimento ou um servico de guia para orienta-lo até o 
sistema certo. 


Em vez de usar uma abordagem técnica para descobrir qual seria 0 servidor-alvo, Ivan usou uma 
abordagem da engenharia social. Ele fez ligagdes telef6nicas com base em métodos semelhantes 
aqueles descritos neste livro. Em primeiro lugar, ligou para 0 suporte técnico de TI e disse ser um 
empregado da empresa que tinha um problema de interface em um produto que o seu grupo estava 
desenvolvendo, e pediu o nimero de telefone do lider de projeto da equipe de desenvolvimento de 
jogos. 


Em seguida, ligou para a pessoa cujo nome lhe deram e fingiu ser um funcionario de TI. "No 
final desta noite", ele disse, "vamos trocar um roteador e precisamos ter certeza de que o pessoal da 
nossa equipe n4o vai perder a conectividade com o seu servidor. Assim sendo, precisamos saber quais 
servidores a sua equipe usa". A rede estava sempre sendo atualizada. E dar 0 nome do servidor nao 
causaria dano nenhum, nao é? Como ele eslava protegido por senha, apenas 0 nome nao adiantaria 
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para alguém que quisesse invadir o sistema. Assim sendo, a vitima deu ao atacante 0 nome do servi- 
dor. Ele nem se importou de ligar para o homem de volta e verificar a hist6ria, nem tampouco anotou 
O seu nome e nimero de telefone. Ele apenas deu 0 nome dos servidores, ATMS e ATMO. 


O ataque da senha 


Nesse ponto, Ivan usou uma abordagem técnica para obter as informac¢oes de autenticacao. A primeira 
etapa da maioria dos ataques técnicos a sistemas que fornecem a capacidade de acesso remoto é a 
identificagao de uma conta com uma senha fraca, a qual fornece um ponto de entrada inicial para o 
sistema. 


Quando um atacante tenta usar as ferramentas de hacking para identificar remotamente as senhas, 
o esforg¢o pode exigir que ele permanega conectado a rede da empresa durante horas de cada vez. E 
claro que ele esta correndo risco: quanto mais tempo permanecer conectado, maior sera 0 risco de 
ele ser pego. 


Como etapa preliminar, Ivan faria uma enumeracdo, a qual revela os detalhes sobre um sistema- 
alvo. Novamente a Internet fornece software para essa finalidade (em http://ntsleuth.Ocatch.com; o 
caractere antes de "catch" é um zero). Ivan descobriu diversas ferramentas publicas de hacking na 
Web que automatizavam o processo de enumeracaéo e evitavam a necessidade de fazer isso 4 mao, o 
que levaria mais tempo e aumentaria o risco. Sabendo que a organizagao empregava principalmente 
servidores baseados no Windows, ele baixou uma copia do NBTEnum, um utilitario de enumera¢ao 
do NetBIOS (sistema basico). Entrou com o enderego IP (protocolo Internet) do servidor ATMS e 
comegou a executar o programa. A ferramenta de enumerag¢ao podia identificar as diversas partic6es, 
contas e diret6rios que existiam no servidor. 


Apés a identificagao das contas existentes, a mesma ferramenta de enumeracao podia iniciar um 
ataque de dicionario contra o sistema de computadores. Um ataque de diciondario é algo que muitas 
pessoas ligadas 4 seguranc¢a de computadores e intrusos conhecem bem. mas a maioria das outras pes- 
soas provavelmente fica chocada quando descobre que isso é possivel. Tal ataque visa descobrir a 
senha de cada usuario do sistema usando as palavras mais comuns. 


Todos temos preguica de fazer algumas coisas, mas sempre me surpreendo com o modo como 
as pessoas escolhem suas senhas, quando a sua criatividade e imaginacao parecem desaparecer. A 
maioria de nds quer um3 senha que de protecao, mas que ao mesmo tempo seja facil de lembrar, o 
que significa algo que esteja muito ligado ands mesmos. As iniciais do nosso nome, 0 nome do meio, 
o apelido, o nome do esposo, a canc¢aéo preferida, filme ou marca de café, por exemplo. O nome da 
rua em que moramos ou da cidade em que vivemos, a marca do carro que dirigimos, a praia na qual 
gostamos de ficar no Havai ou aquele riacho preferido com a melhor truta que pode ser pescada. Vocé 
reconhece um padrao aqui? Em sua maioria essas senhas sA0 nomes de pessoas, nomes de lugares ou 
palavras do dicionério. Um ataque de dicion4rio procura as palavras comuns com velocidade grande 
e experimenta cada senha em uma ou mais contas de usuario. 


ENUMERAGAO Um processo que revela os servicos que estado ativos no sistema-alvo, 
a plataforma do sistema operacional e uma lista dos nomes de contas dos usuarios que 
tém acesso ao sistema. 
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Ivan executou 0 ataque de dicionario em trés fases. Na primeira fase, usou uma lista simples com 
algumas das 800 senhas mais comuns; a lista incluia segredo, trabalho e senha. O programa também 
trocava as palavras do dicionario para experimentar cada palavra com um digito anexado, ou anexan- 
do o numero do més atual. O programa tentava a cada instante descobrir a senha em todas as contas 
de usuario que haviam sido identificadas. Entretanto, ele nao teve sorte. 


Na proxima tentativa, Ivan foi ao mecanismo de pesquisa do Google e digitou "arquivos-diciona- 
rios" e encontrou milhares de sites com listas de palavras e dicionarios em inglés e em diversos idio- 
mas estrangeiros no formato texto. Ele fez o download de todo um dicionario eletrénico do idioma 
inglés. Em seguida, aumentou esse dicionario, fazendo o download de varias listas de palavras que 
encontrou com 0 Google. Ivan escolheu o site em www.outpost9.com/files/WordLists.html. 


Esse site permitiu que ele fizesse 0 download (tudo isso de graca) de uma série de arquivos, 
incluindo nomes de familia, nomes dados, nomes e palavras do Congresso, nomes de atores, palavras 
e nomes da Biblia. 


Outro site que fornece listas de palavras é 0 site da Oxford University, em ftp://ftp.ox.ac.uk/pub/ 
wordlists. 


Outros sites oferecem listas com nomes de personagens de quadrinhos, palavras usadas nos tex- 
tos de Shakespeare, nas séries Odyssey, Tolkien e Star Trek, bem como palavras das areas de ciéncias 
e religiao e assim por diante. (Uma empresa on-line vende uma lista contendo 4,4 milhdes de palavras e 
nomes por apenas US$ 20.) O programa de ataque também pode ser definido para testar anagramas 
das palavras do dicionario — outro método favorito de muitos usudrios de computador que acham 
que estao aumentando a sua seguranga dessa forma. 


Mais rapido do que o pensamento 


Depois que Ivan resolveu qual lista de palavras usaria e comecou 0 ataque, o software foi executado 
no piloto automatico. Ele pode voltar a sua atencao para outras coisas. E aqui esta a parte mais inacre- 
ditavel. Vocé acha que esse ataque permite a um hacker dar a volta ao mundo e o software ainda teria 
feito pouco progresso quando ele voltasse? Na verdade, dependendo da plataforma que esta sendo 
atacada, da configuracao de seguran¢a do sistema e da conectividade de rede, cada palavra de um 
dicionario do inglés pode, acredite ou nao, ser testada em menos de cinco segundos! 


Enquanto esse ataque estava em execucao, Ivan ligou outro computador para executar um ataque 
semelhante a outro servidor usado pelo grupo de desenvolvimento, o ATM6. Vinte minutos depois o 
software de ataque havia feito aquilo que os usuarios mais crédulos gostam de achar que é impossivel: 
ele havia encontrado uma senha que revelava que um dos usuarios havia escolhido a palavra "Frodo", 
um dos Hobbits do livro O Senhor dos Anéis. 


Com essa senha Ivan pode se conectar ao servidor ATM6 usando a conta do usuario. 


Havia uma boa e uma ma noticia para o nosso atacante. A boa noticia era que a conta que ele in- 
vadira tinha privilégios de administrador, 0 que seria essencial para a proxima etapa. A ma noticia era 
que o cddigo-fonte do jogo nao estava em nenhum lugar. Ele devia estar em outra maquina, a ATMS, 
e ele j4 sabia que ela era resistente a um ataque de dicionario. Mas Ivan ainda nao desistira, ele ainda 
tinha mais alguns truques para experimentar. 


Em alguns sistemas operacionais Windows e UNIX, os hashes de senha (as senhas criptografa- 
das) estao disponiveis para todos que tenham acesso ao computador no qual eles estaéo armazenados. 
O raciocinio é que as senhas criptografadas nao podem ser descobertas e, portanto, nao precisam estar 
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protegidas. Essa teoria esta errada. Usando outra ferramenta chamada pwdump3. a qual também esta 
disponivel na Internet, ele p6de extrair os hashes de senha da maquina ATM6 e fez 0 seu download. 


Um arquivo tipico de hashes de senhas se parece com este: 


Administrator: 500:95E4321A38AD8D6AB7SE0C8D76954A50 : 2E48927A0 
BO4F3BFB341E26F6D6E9A97: : : 

akasper: 1110: 5A8D7E9E3C3 954F64 2C5C736306CBFEF : 393CE7F90A 8357 
F157873D72D0490821::: 


digger: 1111 : 5DISCODS8DD2 16C525AD3B83FA6627C7 : 17AD564144308B4 
2B8403D01AE256558: :: 


ellgan: 1112 : 2017D4A5D8D1383EFFI7365FAFIFFE89 : O7AEC9S0C22CBB9 
C2C734EB89320DB 13: : : 


tabeck : 1115: 9F5890B3FECCAB7EAAD3B4 35B51404EE: 1F0115A72844721 
2FCOSE1D2D820B35B::: 


vkantar: 1116: 8 LA6AS5D035596E7TDAAD3 B435B51404EE : B933D36DD12258 
946FCC7BDI53FICDG6E: : : 


vwallwick :1119 : 25904EC665BA30F4449AF42E1054F192 : 15B2B7953FB6 
32907455D2706A432469: : : 


mmcdonald: 1121: A4AED098D2 9VA3217AAD3B435B51404EE : E40670F936B7 
9C2ED522F5ECA9398A27: : : 
kworkman : 1141 : CSCS598AF45768635AAD3B435B51404EE : DEC8E827A1212 
73EFO084CDBFSFD1925C: : : 


Agora com 0 download dos hashes no seu computador. Ivan usou outra ferramenta que executava 
um tipo diferente de ataque de senha conhecido como forca bruta. Esse tipo de ataque tenta todas as 
combinagoes de caracteres alfanuméricos e os simbolos mais especiais. 


Ivan usou um utilitario de software chamado LOphtcrack3 (loft crack o qual esta disponivel em 
www.atstake.com; outra fonte de algumas ferramentas excelentes para a recuperacao de senhas é 
www.elcomsoft.com). Os administradores de sistema usam 0 LOphtcrack3 para fazera auditoria das se- 
nhas fracas; os atacantes 0 usam para descobrir senhas. O recurso de forca bruta do LC3 tenta as 
senhas com combinac6es de letras, numerais e a maioria dos simbolos incluindo !@#$%*&. Ele tenta 
sistematicamente todas as combinacoes possiveis da maioria dos caracteres. (Observe, porém, que se 
forem usados os caracteres néo impressos, o LC3 nao pode descobrir a senha.) 


O programa tem uma velocidade quase inacreditavel, a qual pode chegar a até 2,8 milhGdes de 
tentativas por segundo em uma maquina com um processador de 1 GHz. Mesmo com essa velocidade 
ese o administrador de sistema configurou 0 sistema operacional Windows adequadamente (desati- 
vando o uso dos hashes LANMAN), a descoberta de uma senha pode levar um tempo excessivo. 


Por esse motivo o atacante quase sempre faz 0 download dos hashes e executa 0 ataque em sua 
propria maquina ou em outra, em vez de ficar on-line na rede da empresa-alvo e se arriscar a ser pego. 


ATAQUE DE FORCA BRUTA Uma estratégia de descoberta de senha que tenta todas 
as combinacoes possiveis de caracteres alfanuméricos e simbolos especiais. 
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Para Ivan a espera nao foi tao longa. Varias horas mais tarde 0 programa apresentou as senhas 
de cada um dos membros da equipe de desenvolvimento. Mas essas eram as senhas dos usuarios da 
maquina ATM6 e ele ja sabia que 0 cédigo-fonte do jogo que desejava nao estava nesse servidor. 


E agora? Ele ainda nao conseguira uma senha para uma conta da maquina ATMS. Usando o seu 
raciocinio de hacker e sabendo dos maus habitos de seguranga dos usuarios em geral, ele calculou que 
um dos membros da equipe poderia ter escolhido a mesma senha em ambas as maquinas. 


Na verdade foi exatamente isso 0 que aconteceu. Um dos membros da equipe usava a senha 
"jogadores" no ATMS e no ATM6. 


A porta havia se escancarado para Ivan cagar até encontrar 0 programa que procurava. Apos loca- 
lizar o diretério do cédigo-fonte e fazer o seu download, ele executou outra etapa tipica dos invasores 
de sistemas: mudou a senha de uma conta inativa que tinha direitos administrativos, s6 para 0 caso de 
querer obter uma versao atualizada do software no futuro. 


Analisando a trapaca 


Nesse ataque, que explorava as vulnerabilidades técnicas e pessoais, 0 atacante comegou com uma 
liga¢ao telefOnica para obter a localizagao e os nomes dos hosts dos servidores de desenvolvimento 
que mantinham as informac6es proprietarias. 


Em seguida, ele usou um utilitario de software para identificar os nomes de usuario de contas 
validas de todos que tinham acesso ao servidor de desenvolvimento. A seguir, ele executou dois ata- 
ques sucessivos de senhas, entre eles um ataque de dicionario, 0 qual pesquisa as senhas mais usadas 
tentando todas as palavras de um dicionario da lingua inglesa, as vezes aumentado por diversas listas 
de palavras contendo nomes, locais e itens de interesse especial. 


Como as ferramentas de hacking comerciais e de dominio publico podem ser obtidas por qual- 
quer pessoa para qualquer finalidade, é muito importante que vocé fique atento e proteja os sistemas 
de computadores da empresa e a sua infra-estrutura de rede. 


A magnitude dessa ameaca nao pode ser subestimada. De acordo com a revista ComputerWorld, 
uma analise nos escrit6rios de Nova York da Oppenheimer Funds levou a uma descoberta surpreen- 
dente. O vice-presidente da empresa para Seguranca de Rede e Recuperacao de Desastres executou 
um ataque de senhas contra os empregados de sua empresa usando um dos pacotes de software-pa- 
drao. A revista informou que em trés minutos ele conseguiu descobrir as senhas de 800 empregados. 


Recado do 


Na terminologia do jogo Monopoly, nao use palavra do dicionario. Vocé tem de ensinar 
seus empregados como eles devem escolher senhas que protegem realmente os seus 
bens. 


EVITANDO A TRAPACA 


Os ataques da engenharia social podem se tornar ainda mais destrutivos quando o atacante usa um 
elemento de tecnologia. Para evitar esse tipo de ataque em geral vocé precisa seguir etapas nos niveis 
humano e técnico. 
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Diga simplesmente nao 


Na primeira hist6ria do capitulo, a funciondria da empresa de telefonia RCMAC nao deveria ter 
removido o status "negar encerramento" das dez linhas telefOnicas sem nenhuma ordem de servico 
que autorizasse-a mudancga. Nao basta que os empregados conhecam as politicas e os procedimentos 
de seguranga. Eles devem entender como essas politicas s4o importantes para evitar danos para a 


empresa. 


As politicas de segurang¢a devem desencorajar 0 desvio do procedimento por meio de um sistema 
de recompensas. Naturalmente, as politicas devem ser realistas e nao devem pedir que os empregados 
executem etapas complicadas demais, caso contrario elas podem ser ignoradas. Da mesma forma, um 
programa de conscientizacgao sobre a seguran¢a precisa convencer os empregados que, embora seja 
importante realizar as tarefas da funcao dentro do prazo, a tomada de um atalho que nao atende os 
procedimentos adequados de seguranga pode ser prejudicial para a empresa e os colegas. 


O mesmo cuidado deve ser tomado quando se fornecem informag6es para um estranho ao tele- 
fone. Nao importa se a pessoa se apresenta de modo persuasivo, nao importa o seu status ou a sua 
posicao na hierarquia da empresa: nenhuma informagcao deve ser fornecida além daquelas designadas 
como publicamente disponiveis até que a identidade do interlocutor seja verificada positivamente. Se 
essa politica fosse observada rigidamente, 0 esquema da engenharia social da historia de Johnny teria 
falhado e Gondorff nunca poderia planejar um novo golpe com o seu colega Johnny. 


Essa é uma questao tao importante que a reitero em todo este livro: verifique, verifique e verifique 
novamente. Toda solicitagao que nao seja feita pessoalmente nunca deve ser aceita sem a verificagao 
da identidade do solicitante, ponto. 


Fazendo a limpeza 


Para todas as empresas que nao tém pessoal de segurancga durante as 24 horas do dia, 0 esquema no 
qual um atacante tem acesso a um escrité6rio apdés 0 expediente representa um desafio. O pessoal da 
limpeza normalmente trata com respeito todos que aparentam trabalhar na empresa e parecam ser 
verdadeiros. Afinal de contas, essa pessoa pode causar-lhes problemas ou sua demissao. Por esse 
motivo, as equipes de limpeza, sejam elas internas ou contratadas em uma agéncia externa, devem ser 
treiadas nas quest6es da seguranga fisica. 


O trabalho de limpeza nao exige forma¢éo superior, nem mesmo a habilidade de falar fluente- 
mente o idioma do pais, e 0 treinamento normal, quando ha, envolve quest6es nao relacionadas com 
a seguran¢a, tals como o tipo de produto de limpeza a ser usado para as diferentes tarefas. Em geral 
essas pessoas nao sao instruidas para "se alguém pedir para entrar fora do expediente vocé precisa 
verificar o cartao de identificagaéo da empresa e, em seguida, ligar para o escritério da empresa de 
limpeza, explicar a situagdo e aguardar a autorizacao". 


Uma organizac¢ao precisa ter planos para uma situacgao como aquela deste capitulo antes que ela 
aconteca e treinar as pessoas adequadamente. De acordo com a minha experiéncia pessoal, descobri 
que a maioria das empresas (sendao todas) do setor privado é muito relapsa nessa area da segurancga 
fisica. Vocé pode tentar abordar o problema de outro modo, colocando a responsabilidade nos pr6- 
prios empregados da sua empresa. Uma empresa sem servico de seguranga durante 24 horas deve 
dizer aos seus empregados que entram fora do expediente que eles devem levar suas préprias chaves 
ou cartdes de acesso eletrénico e nunca devem colocar o pessoal da limpeza em uma situagao em que 
eles tenham de resolver quem deve ser admitido. Em seguida, a empresa de limpeza deve ser avisada 
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que o seu pessoal de limpeza sempre deve ser treinado para nao deixar ninguém entrar nas instalagdes 
da empresa em nenhum momento. Essa é uma regra simples: nao abra a poria para ninguém. Se for 
apropriado, ela pode ser escrita como uma condi¢gao do contrato com a empresa de limpeza. 


Da mesma forma, as equipes de limpeza devem ser treinadas quanto as técnicas usadas pelas 
pessoas nao autorizadas que seguem uma pessoa autorizada quando ela passa pela entrada de segu- 
ranca. Elas também devem ser treinadas para nao permitir que outra pessoa as siga e entre no prédio 
sO porque parece ser um empregado. 


Faca um acompanhamento constante — digamos de trés a quatro vezes por ano — realizando 
um teste de penetragao ou uma avaliacéo de vulnerabilidade. Faga com que alguém apare¢a na porta 
quando a equipe de limpeza estiver trabalhando e tente entrar no prédio. Em vez de usar os seus pr6- 
prios empregados, vocé pode contratar uma empresa especializada nesse tipo de teste de penetracao. 


Passe adiante: protejam suas senhas 


Cada vez mais as organizac6es estado se tornando vigilantes sobre a implantacao das diretivas l6gicas 
de segurang¢a — por exemplo, a configura¢a4o do sistema operacional para implantar as politicas de 
senhas e limitar o numero de tentativas invalidas de login que podem ser feitas até que a conta seja 
bloqueada. Na verdade, as plataformas de negécios do Microsoft Windows geralmente tém esse re- 
curso incorporado. Mesmo assim, reconhecendo 0 modo como os clientes se aborrecem facilmente 
com os recursos que exigem um esforco extra, os produtos sao entregues na sua forma padrao, ou 
seja, com os recursos de seguran¢ga desativados. Esta na hora de os fabricantes de software pararem 
de entregar produtos com os recursos na forma-padrao, pois deveria acontecer justamente o contrario. 
(Suspeito de que eles vao descobrir isso em breve.) 


Obviamente, a politica de segurancga corporativa deve obrigar os administradores de sistema a 
implantarem diretivas logicas de segurang¢a sempre que possivel, com o objetivo de nao depender 
das pessoas nao mais do que o necessario. Nao é preciso pensar muito para ver que quando limita o 
numero de tentativas sucessivas e invalidas de login com determinada conta, por exemplo, vocé torna 
a vida de um atacante significativamente mais dificil. 


Toda organizagao enfrenta esse desconfortavel desequilibrio entre uma seguranga forte e a pro- 
dutividade do empregado, o qual faz com que alguns empregados ignorem as politicas de seguranga e 
nao aceitem o fato de que essas medidas sao importantes para proteger a integridade das informa¢oes 
corporativas confidenciais. 


Se as politicas de uma empresa nao abordam algumas quest6es, os empregados podem usar 0 ca- 
minho da menor resisténcia e realizar as ages mais convenientes que tornem seu trabalho mais facil. 
Alguns empregados podem resistir 4 mudanga e ignorar os bons habitos de seguranga. Vocé talvez 
tenha encontrado um empregado assim, o qual segue as regras sobre 0 tamanho e a complexidade da 
senha, mas depois escreve a mesma senha em um Post-it e a cola no monitor. 


Uma parte vital da protecao da sua organizacgao € o uso de senhas dificeis de serem descobertas, 
as quais sao combinadas a configuracoes rigidas de seguran¢a na sua tecnologia. Consulte o Capitulo 
16 para obter uma discussao detalhada sobre as politicas recomendadas de senhas. 
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Ataques aos Empregados Iniciantes 


mo demonstram muitas histérias deste livro, o engenheiro social habilidoso quase 

sempre visa o pessoal de nivel mais baixo da hierarquia organizacional. Pode ser facil 

manipular essas pessoas para que elas revelem informac6des aparentemente inofensivas 
que o atacante usa para chegar mais proéximo da obten¢ao das informagdes mais confidenciais 
da empresa. 


Um atacante visa os empregados do nivel iniciante porque geralmente eles nao tém consciéncia 
do valor das informag6es especificas da empresa ou dos possiveis resultados de determinadas acoes. 
Da mesma forma, eles tendem a ser facilmente influenciados por algumas das abordagens mais 
comuns da engenharia social — um interlocutor que invoca a autoridade; uma pessoa que parece 
amistosa e agraddvel; uma pessoa que parece conhecer pessoas da empresa que sao conhecidas da 
vitima; uma solicitagaéo que o atacante diz ser urgente ou a sugestao de que a vitima obtera algum 
tipo de favor ou reconhecimento. 


Estas sao algumas historias de ataque ao empregado de nivel mais baixo em a¢ao. 


O GUARDA DE SEGURANCA PRESTATIVO 


Os ladrées esperam encontrar uma pessoa ambiciosa porque sao elas que tém mais chances de cair 
em um jogo de trapacga. Os engenheiros sociais, quando visam alguém, tal como um membro de 
uma equipe de limpeza ou um guarda da seguranga, esperam encontrar um individuo de boa in- 
dole, amistoso e que confia nas outras pessoas. Eles sao aqueles que tém mais chances de estarem 
dispostos a ajudar. E exatamente isso 0 que o atacante da préxima histéria tem em mente. 


A visao de Elliot 


Data/hora: 3h26 da madrugada de terca-feira em fevereiro de 1998. 


Localizacao: instalagdes da Marchand Microsystems, Nashua, New Hampshire 


Elliot Staley sabia que nao deveria sair do seu posto quando nao estava nas rondas programadas, Mas 
ele estava no meio da noite e, para dizer a verdade, ainda nao tinha visto uma Unica pessoa desde que 
comegou o seu turno. E estava quase na hora de fazer a sua ronda de qualquer maneira. O infeliz no 
telefone parecia que realmente precisava da sua ajuda. E é bom para alguém poder fazer algo de bom 
para outra pessoa. 
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A historia de Bill 


Bill Goodrock linha um objetivo simples, ao qual se apegava desde que tinha 12 anos: aposentar- 
se com 24 anos, sem nem tocar em um centavo do seu fundo de poupanga. Para mostrar ao pai, o 
todo-poderoso e impiedoso banqueiro, que ele podia ser um sucesso por conta propria. 


Faltavam apenas dois anos e estava perfeitamente claro que ele nao iria ganhar a sua fortuna nos 
proximos 24 meses sendo um homem de negocios brilhante, e também n4o iria conseguir isso como 
um investidor inteligente. Certa vez pensou em roubar bancos com um revélver, mas isso é coisa de 
cinema — 0 custo do risco comparado ao beneficio é alto demais. E ficava sonhando com um golpe 
— roubar um banco eletronicamente. 


Da ultima vez que Bill esteve na Europa com a familia, ele abriu uma conta bancaria em Ménaco 
com Fr$ 100. Ele ainda tinha apenas Fr$ 100 na conta, mas tinha um plano que o ajudaria a chegar 
aos sete digitos em um instante. Com um pouco de sorte talvez até aos oito digitos. 


A namorada de Bill, Annemarie, trabalhava em um grande banco em Boston. Um dia, enquan- 
to a esperava sair de uma reuniao de ultima hora no escritorio, ele cedeu a4 curiosidade e conectou 
o seu laptop a uma porta Ethernet da sala de reunides que estava usando. Isso mesmo! Ele estava 
na rede interna e conectado dentro da rede do banco... atras do firewall corporativo. Isso lhe deu 
uma idéia. 

Ele juntou seu talento ao de um colega de classe que conhecia uma jovem chamada Julia, uma 
brilhante mestre em ciéncia da computacao e candidata a um estagio na Marchand Microsystems. 
Julia parecia ser uma 6tima fonte de informag6es internas essenciais. Eles disseram a ela que esta- 
vam escrevendo um roteiro de um filme e ela realmente acreditou neles. Ela pensou que poderia ser 
divertido criar uma hist6ria com eles e deu-lhes todos os detalhes sobre como vocé poderia executar 
o plano que haviam descrito. Ela pensou que a idéia era brilhante, e ficava pedindo que eles lhe 
dessem um crédito no filme também. 


Eles a avisaram que com freqiiéncia as idéias para um filme sao roubadas e fizeram com que ela 
jurasse que nunca diria nada a ninguém. 


Adequadamente instruidos por Julia, Bill fez ele mesmo a parte mais arriscada e nunca duvidou 
que conseguiria. 


ie ee ar he A 


Liguei a tarde e consegui descobrir que o supervisor da noite da forga de seguranga era um ho- 
mem chamado Isaiah Adams. As 21 h30 daquela noite liguei para o prédio e falei com o guarda da se- 
guranca da recepcao. A minha hist6ria baseava-se toda na urgénciae eu parecia estar meio em panico. 
"Estou com um problema no carro e nao consigo chegar até ai", eu disse, "Tenho uma emergéncia e 
realmente preciso da sua ajuda. Tentei ligar para o supervisor de seguranga, Isaiah, mas ele nao esta 
em casa. Vocé pode me fazer este favor s6 esta vez? Eu ficaria muito grato!". 


As salas daquele prédio enorme tinham cddigos de entrada e eu dei-lhe o cddigo do laboratério 
de computadores e perguntei se ele sabia onde ficava. Ele disse que sim, e concordou em ir até 14 para 
mim. Ele disse que isso levaria alguns minutos e eu respondi que ligaria para ele, dando a desculpa 
de que estava usando a tnica linha telef6nica disponivel e que a estava usando para discar para a rede 
para tentar resolver o problema. 


Ele j4 estava 14 esperando quando liguei e eu lhe expliquei onde encontraria a console na 
qual eu estava interessado. Ele teria de procurar a console que tinha um banner de papel escrito 
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"elmer" — o host que Jtilia disse que era usado para criar as vers6es do sistema operacional que a 
empresa comercializava. Quando ele disse que tinha encontrado, eu soube com certeza que Julia 
nos passou boas informacdes e o meu coracéo disparou. Pedi para ele dar Enter algumas vezes, 
e ele comentou que um sinal de libra aparecia. Isso indicava que 0 computador estava conectado 
como raiz, a conta de superusuario com todos os privilégios de sistema. Ele nao era um bom digi- 
tador e foi uma dificuldade fazé-lo digitar o meu pr6ximo comando, o qual era meio complicado 
mesmo: 


echo ‘fix:x:0:0::/:/bin/sh' >> /etc/passwd 


Finalmente ele conseguiu e agora podiamos dar um nome de corre¢ao para a conta. Em seguida, 
fiz com que ele digitasse: 


echo ‘fix: :10300:0:0' >> /etc/shadow 


Isso estabeleceu a senha criptografada, a qual é colocada entre dois pontos duplos. Se nao 
houver nada entre esses dois pontos duplos a conta fica com uma senha nula. Assim sendo, apenas 
aqueles dois comandos foram necessarios para anexar a correcao de conta ao arquivo de senhas, 
com uma senha nula. O melhor de tudo é que a conta teria os mesmos privilégios do super- 
usuario. 


A seguir fiz com que ele inserisse um comando de diret6rio recursivo que imprimia uma longa 
lista de nomes de arquivo. Depois pedi para ele dobrar o papel, destacar e leva-lo para a sua mesa de 
seguran¢a porque: "Eu talvez tenha de ler alguma coisa mais tarde." 


O mais interessante disso tudo é que ele nao tinha a menor idéia de que havia criado uma conta 
nova. E fiz com que imprimisse a lista de diret6rio com os nomes de arquivos de que precisava para 
ter certeza de que os comandos que ele digitou anteriormente sairiam da sala de computadores com 
ele. Dessa forma, o administrador do sistema ou o operador na manha seguinte nao descobririam 
nada que os alertasse de que houve uma violacao de seguranga. 


Agora eu tinha uma conta, uma senha e privilégios completos. Um pouco antes da meia-noite 
disquei e segui as instrucdes que Julia havia digitado cuidadosamente "para o filme". Em um piscar 
de olhos acessei um dos sistemas de desenvolvimento que continha a cépia master do cédigo-fonte 
da nova versao do sistema operacional da empresa. 


Carreguei um patch que Julia havia escrito, o qual, segundo ela, modificava uma rotina em uma 
das bibliotecas do sistema operacional. O patch, na verdade, criava uma backdoor oculta que permi- 
tla 0 acesso remoto ao sistema com uma senha secreta. 


O tipo de backdoor usada aqui nao muda o programa de login do sistema operacio- 
nal em si. Em vez disso, uma fungao especifica contida dentro da biblioteca dinamica 
usada pelo programa de login é substituida para criar o ponto de entrada secreto. Nos 
ataques tipicos, os invasores de computador quase sempre substituem ou usam um 
patch no proprio programa de login, mas os administradores de sistema inteligentes 
podem detectar a alteragao comparando-o com a versao que vem em midias, tais como 
um CD-ROM, ou em outros métodos de distribuicao. 
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PATCH Tradicionalmente uma parte do codigo que, quando colocado em um progra- 
ma executavel, corrige um problema. 


Segui cuidadosamente as instruc6es que ela havia escrito para mim, primeiro instalando o patch 
e, depois, percorrendo as etapas que removiam a correcao de conta e limpei todos os registros de au- 
ditoria, para que nao houvesse rastros das minhas atividades, apagando, assim, as minhas pegadas. 


Em breve a empresa comegaria a enviar a atualizacgao do novo sistema operacional para seus 
clientes: as instituigdes financeiras de todo o mundo. Ecadacépia enviada incluiria a backdoor que eu 
havia colocado na distribuigao master antes de ela ser enviada, permitindo que eu acessasse 0 sistema 
de computadores de cada banco e corretora que instalasse a atualizacao. 


Obviamente, eu nao havia terminado tudo — ainda havia trabalho a fazer. Ainda teria de acessar 
a rede interna de cada instituicao financeira que queria "visitar". Em seguida, teria de descobrir qual 
computador era usado para as transferéncias de dinheiro e teria de instalar software de monitoramento 
para saber quais eram os detalhes de suas operacgOes e exatamente como os fundos eram transferidos. 


Tudo isso eu podia fazer a distancia em um computador localizado em qualquer lugar. Por exem- 
plo, com a vista de uma praia de areias brancas. Taiti, 14 vou eu. 


Liguei de volta para o guarda, agradeci sua ajuda e disse que ele poderia rasgar a impressao. 


Analisando a trapaca 


O guarda de seguranga tinha instru¢6es para executar suas tarefas, mas por mais completas que sejam 
as instruc6es, nao podem prever toda situacao possivel. Ninguém lhe dissera 0 dano que poderia ser 
causado se ele digitasse algumas teclas em um computador para uma pessoa que ele achasse ser um 
empregado da empresa. 


Com a cooperac¢ao do guarda ficou relativamente facil acessar um sistema critico que armazena- 
va o master de distribui¢ao, apesar do fato de que ele estava trancado em um laboratério seguro. O 
guarda, obviamente, tinha as chaves de todas as portas trancadas. 


Recado do 


Quando o invasor de computadores nao pode ter acesso fisico a um sistema de compu- 
tador ou a propria rede, ele tenta manipular outra pessoa para fazer isso por ele. Nos 
casos em que 0 acesso fisico é€ necessario para o plano, o uso da vitima como repre- 
sentante é€ melhor ainda do que fazer vocé mesmo, porque o atacante assume menos 
risco de ser pego e preso. 


Até mesmo um empregado honesto (ou, neste caso, a candidata a Ph.D e estagiaria da empresa, 
Julia) as vezes pode ser enganado para revelar informacoes de importancia crucial para um ataque da 
engenharia social, tais como onde esta localizado o sistema de computadores alvo e — o segredo do 
sucesso deste ataque — quando eles criariam a nova versao de distribuicao do software. Isso é impor- 
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tante, uma vez que uma mudanga desse tipo feita cedo demais tem mais chances de ser detectada ou 
anulada se 0 sistema operacional for recriado a partir de um cdédigo limpo. 


Vocé observou o detalhe de fazer com que o guarda levasse as folhas impressas de volta para a 
recepcao e as destruisse mais tarde? Essa era uma etapa importante. Quando os operadores de com- 
putador chegassem para trabalhar no pr6ximo dia util, o atacante nao queria que eles encontrassem 
essa evidéncia no terminal de impressao0, nem notassem que estava no lixo. Uma desculpa razoavel 
para que o guarda levasse as folhas evitou esse risco. 


O PATCH DE EMERGENCIA 


Vocé deve achar que um funciondrio do suporte técnico entende os perigos de dar acesso a rede de 
computadores para um estranho. Mas quando o estranho é um inteligente engenheiro social disfarca- 
do como um Util vendedor de software, os resultados podem nfo ser aquilo que vocé espera. 


Uma ligacao util 


O interlocutor queria saber "Quem é 0 encarregado dos computadores ai?" e a telefonista o transferiu 
para o funcionario do suporte técnico, Paul Ahearn. 


O interlocutor identificou-se: "Edward, da Seer Ware, 0 fabricante do seu banco de dados. Apa- 
rentemente, varios dos nossos clientes nao receberam o e-mail sobre a atualizacdo de emergéncia. 
Estamos ligando para alguns para fazer uma verificacao do controle de qualidade e saber se houve 
algum problema com a instala¢do do patch. Vocés ja instalaram a atualizacgao?" 


Paul disse que tinha certeza de que nao viu nada parecido. 


Edward disse: "Bem, isso causaria perdas intermitentes e catastréficas de dados e, portanto, re- 
comendamos que vocé o instale assim que possivel." Paul disse que isso era algo que ele certamente 
faria. "Muito bem", respondeu o interlocutor. "Podemos enviar um CD com 0 patch e quero lhe dizer 
que isso é realmente critico — duas empresas j4 perderam diversos dias de dados. Assim sendo, vocé 
realmente deve instalar esse patch assim que ele chegar, antes que isso aconteg¢a na sua empresa 
também." 


"Nao posso fazer o download do seu site Web?", Paul perguntou. 


"Ele deve estar disponivel em breve — a equipe técnica esta apagando todos esses incéndios. Se 
vocé quiser, posso ver se 0 nosso centro de suporte ao cliente o instala remotamente para vocé. Pode- 
mos discar ou usar a Telnet para a conexa4o com 0 sistema, se 0 seu sistema suportar isso." 


"Nao permitimos a Telnet, particularmente da Internet — ela nao é segura", respondeu Paul. 
"Se vocé pudesse usar 0 SSH (Shell seguro) seria bom", ele disse, citando um produto que fornece 
transferéncias seguras de arquivo. 


"Sim. Temos o SSH. Entao qual é 0 endereco IP?" 


Paul deu o endereco IP e quando Edward pediu "e qual é 0 nome de usuario e senha que posso 
usar". Paul também forneceu essas informacoes. 


Analisando a trapaca 


Obviamente, aquela ligacdo telef6nica poderia realmente ter vindo do fabricante do banco de dados. 
Mas nesse caso a hist6ria nao pertenceria a este livro. 
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O engenheiro social aqui influenciou a vitima criando a sensa¢ao assustadora de que poderia 
haver perda de dados e ofereceu uma solu¢gdo imediata que resolveria 0 problema. 


Da mesma forma, quando um engenheiro social tem como alvo alguém que sabe o valor das 
informagoes, ele precisa ter argumentos muito convincentes e persuasivos para conseguir 0 acesso 
remoto. Eventualmente ele precisa incluir o elemento da urgéncia, para que a vitima se distraia com 
a pressa e concorde antes de ter uma chance de pensar muito na solicitagao. 


A NOVA GAROTA 


Quais tipos de informagG6es que estao nos arquivos da sua empresa a que um atacante pode ter acesso? 
As vezes essas informag6des podem ser algo que vocé nao achava que precisasse proteger. 


A ligacgao para Sarah 


"Recursos Humanos, aqui é Sarah." 


"Oi Sarah. Aqui @€ George do estacionamento. Vocé sabe o cartao de acesso usado 
para entrar no estacionamento e nos elevadores? Bem, tivemos um problema e 
precisamos reprogramar os cartoes de todos os funcionarios novos que foram 
contratados nos ultimos 15 dias." 


"Vocé precisa dos nomes?" 
"E dos numeros de telefone." 


"Posso verificar a nossa lista de novos contratados e ligar de volta. Qual 6 o numero do 
seu telefone?" 


"E 73... Ah, estou saindo para o café, que tal se eu ligar de volta em meia hora?" 


Tudo bem." 


Quando ele ligou de volta, ela explicou: "Ah, sim. Bem, ha apenas dois. Anna Myrtle do 
Financeiro, ela é secretaria. E aquele vice-presidente novo, o Sr. Underwood." 


"E os numeros dos telefones?" 
"Certo... O numero do Sr. Underwood é€ 6973. O de Anna Myrtle é 2127." 


"Olhe, vocé me ajudou muito. Obrigado." 


A ligagao para Anna 


"Financeiro, Anna." 


"Ainda bem que encontrei alguém trabalhando até mais tarde. Aqui é Ron Vittaro, sou 
editor da divisao de negocios. Acho que ainda nao fomos apresentados. Bem-vinda 
a empresa." 


"Obrigada." 


"Anna, estou em Los Angeles e em meio a uma crise. Preciso de dez minutos do seu 
tempo." 


"E claro. Do que vocé precisa?" 
"Va até o meu escritério. Vocé sabe onde € o meu escrit6ério?" 


"Nao." 
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"Muito bem, ele é o escritdrio de canto do 1 5°. andar — sala 1502. Vou ligar para la em 
alguns minutos. Quando chegar la, vocé tera de apertar o botao forward do telefone 
para que a minha ligagao nao entre diretamente no meu voice mail." 


Tudo bem, estou indo para la agora." 


Dez minutos depois ela estava no escritorio, havia cancelado 0 encaminhamento de cha- 
madas e estava aguardando o telefone tocar. Ele disse para ela sentar-se ao computador e 
abrir o Internet Explorer. Depois pediu para ela digitar um endereco: www.geocities.com/ 
ron_insen/manuscript.doc.exe. 


Uma caixa de dialogo apareceu e ele pediu para ela clicar em Open. O computador pa- 
recia estar descarregando 0 manuscrito e, em seguida, a tela ficou em branco. Quando 
ela disse que algo parecia estar errado, ele respondeu "Ah, nao. Nao de novo. Tenho tido 
problemas para fazer o download desse site Web com frequéncia, mas achei que isso ja 
estivesse resolvido. Muito bem, nao se preocupe, vou conseguir esse arquivo de outra 
maneira mais tarde." Em seguida, ele pediu que ela reinicializasse 0 seu computador para 
que ele pudesse ter certeza de que ele inicializaria corretamente apos o problema que ela 
acabou de ter. Ele aorientou sobre como fazer a reinicializagao. 


Quando o computador estava sendo novamente executado, ele agradeceu muito e 
desligou. Anna voltou ao departamento financeiro para terminar o trabalho que estava 
fazendo. 


A historia de Kurt Dillon 


A Millard-Fenton Publishers estava entusiasmada com 0 novo autor que haviam acabado de contratar, 
o CEO aposentado de uma empresa da Fortune 500 que tinha uma historia fascinante para contar. 
Alguém havia passado 0 homem para um gerente de negocios para concluir as negociagoes. O geren- 
te de negécios nao queria admitir que nao sabia nada sobre contratos de publica¢gao e contratou um 
velho amigo para ajuda-lo a descobrir 0 que ele precisava saber. O velho amigo, infelizmente, nao foi 
uma boa opcao. Kurt Dillon usava aquilo que poderiamos chamar de métodos incomuns de pesquisa, 
ou seja, métodos que nAo sao totalmente éticos. 


Kurt criou um site gratis no Geocities em nome de Ron Vittaro e carregou um programa spyware 
no site novo. Ele mudou o nome do programa para manuscript.doc.exe, para que 0 nome parecesse 
ser um documento do Word e nao levantasse suspeitas. Na verdade, isso funcionou melhor ainda do 
que Kurt previra. Como o Vittaro real nunca havia mudado nenhuma das configura¢oes default "Hide 
file extensions for known file types" do seu sistema operacional Windows, 0 arquivo era exibido com 
oO nome manuscript.doc. 


SPYWARE Software especializado usado para monitorar de modo oculto as atividades 
do computador de um alvo. Um dos meios mais comuns dessa pratica é usada para 
controlar os sites visitados pelos compradores da Internet para que os anuncios on- 
line possam ser adaptados aos seus habitos de pesquisa na Internet. A outra forma 
analoga é€ grampear um telefone, exceto que o dispositivo-alvo € um computador. 
O software captura as atividades do usuario, incluindo as senhas e teclas digitadas, 
e-mail, conversas de chat, mensagens instantaneas, todos os sites Web visitados e 
capturas de tela. 
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Em seguida, fez com que uma amiga ligasse para a secretaria de Vittaro. Seguindo as instrugdes 
de Dillon, ela disse: "Sou a assistente executiva de Paul Spadone, presidente da Ultimate Booksto- 
res, em Toronto. O Sr Vittaro conheceu 0 meu chefe em uma feira de livros ha algum tempo e pediu 
para ele ligar e discutir um projeto que eles fariam juntos, O Sr Spadone viaja muito e pediu que eu 
descobrisse quando o Sr Vittaro estara no escritério." 


Quando as duas terminaram de comparar as agendas, a amiga de Dillon j4 tinha informag6es su- 
ficientes para fornecer ao atacante uma lista das datas em que o Sr Vittaro estaria no escritério. Isso 
significava que ele também sabia quando Vittaro estaria fora do escritério, Nao foi preciso conversar 
muito para descobrir que a secretaria de Vittaro aproveitaria a sua auséncia para esquiar um pouco. 
Por um periodo de tempo curto, ambos estariam fora do escritério. E isso era perfeito. 


No primeiro dia que eles deveriam estar fora, ele fez uma ligacao urgente s6 para ter certeza, e foi 
informado pela recepcionista que "o Sr Vittaro nao esta no escritério, nem a sua secretaria, Nenhum 
deles deve voltar hoje, amanha nem depois de amanha". 


A sua primeira tentativa de enganar um empregado para tomar parte nesse esquema foi bem- 
sucedida, e ela nao pestanejou quando ele pediu ajuda para fazer 0 download de um "manuscrito", 
o qual na verdade era um conhecido programa comercial spyware que o atacante havia modificado 
para uma instalacdo silenciosa. Usando esse método, a instalagaéo nao seria detectada pelo software 
antivirus. Por algum motivo, os fabricantes de antivirus nado comercializam produtos que detectam o 
spyware comercial. 


Imediatamente apos ajovem ter carregado o software no computador de Vittaro, Kurt voltou ao 
site Geocities e substituiu 0 arquivo doc.exe por um manuscrito de livro que ele encontrou na Internet. 
Caso alguém descobrisse 0 golpe e voltasse ao site para investigar o que havia acontecido, encontraria 
oO manuscrito de um livro inofensivo, amador e que nao podia ser publicado. 


Apos 0 programa ter sido instalado e 0 computador reinicializado, ele foi configurado para se 
tornar imediatamente ativo. Ron Vittaro retornaria a cidade em alguns dias, comegaria a trabalhar e 
O spyware come¢aria a encaminhar todas as teclas digitadas no seu computador, incluindo os e-mails 
enviados e as capturas de telas, mostrando o que estava sendo exibido na tela naquele momento. Tudo 
isso Seria enviado a intervalos regulares para um provedor de servicos de e-mail gratis na Ucrania. 


Alguns dias apos o retorno de Vittaro, Kurt estava olhando os arquivos de registro da sua caixa 
de correio ucraniana e em pouco tempo localizou os e-mails confidenciais que indicavam até onde 
a Millard-Fenton Publishing estava disposta a fazer um acordo com o autor. Munido desse conheci- 
mento, o agente do autor podia negociar mais facilmente termos muito melhores do que aqueles que 
foram oferecidos originalmente, sem nem correr o risco de perder o acordo totalmente. E isso, é claro, 
significava uma comissdo maior para 0 agente, 


Analisando a trapaca 


Neste golpe, 0 atacante tornou mais provavel 0 seu sucesso escolhendo um empregado novo que agi- 
ria como um representante, contando que ela estaria mais disposta a cooperar e fazer parte da equipe 
e que teria menos chances de conhecer a empresa, 0 seu pessoal e as boas praticas da seguranga, o 
que poderia atrapalhar a tentativa. 


Como Kurt estava usando 0 nome de um vice-presidente em suas conversas com Anna, que era 
uma funcionaria do departamento financeiro, ele sabia que era pouco provavel que ela questionasse 
a sua autoridade. Ao contrario, ela podia pensar que, ajudando um vice-presidente, tivesse alguma 
vantagem. 
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INSTALACAO SILENCIOSA Um método de instalar um aplicativo de software sem 
que o usuario ou operador do computador tenha conhecimento de que a acao esta 


ocorrendo, 


E o processo pelo qual Anna passou para instalar 0 spyware parecia ser inofensivo. Anna nao 
linha a menor idéia de que suas agdes aparentemente inocentes permitiam que um atacante tivesse 
informag6es valiosas que poderiam ser usadas contra os interesses da empresa. 


E por que ele escolheu encaminhar a mensagem do vice-presidente para uma conta de e-mail na 
Ucrania? Por diversos motivos: um destino distante torna bem menos provavel o rastreio ou alguma 
acao contra um atacante. Esses tipos de crimes geralmente sao considerados crimes de baixa priorida- 
de em paises com esses, nos quais a policia tende a fazer vistas grossas para um crime cometido pela 
Internet, uma vez que essa nao é uma ofensa muito séria. Por esse motivo, 0 uso de e-mails de paises 
que talvez nao cooperariam com a aplicacao das leis dos EUA é uma estratégia atraente. 


EVITANDO A TRAPACA 


Um engenheiro social sempre prefere visar um empregado que nao pode reconhecer algo suspeito em 
suas solicitagdes. Isso nao apenas facilita o trabalho, mas também o torna menos arriscado — como 
ilustram as historias deste capitulo. 


Recado do 


(Mitnick 


E pratica comum pedir que um colega ou subordinado faca um favor. Os engenheiros 
sociais sabem como explorar o desejo natural das pessoas de ajudar e fazer parte de 
uma equipe. Um atacante explora esse traco humano positivo para enganar emprega- 
dos desavisados para que executem agdes que o coloquem mais perto do seu objetivo. 
E importante entender esse conceito simples para que vocé reconheca quando outra 
pessoa esta tentando manipula-lo. 


Enganando os desavisados 


Ja enfatizei antes a necessidade de treinar bem os empregados para que nunca se deixem enganar pe- 
las instrugdes de um estranho. Todos os empregados também precisam entender o perigo de atender 
uma solicitagao para executar qualquer agao no computador de outra pessoa. A politica da empresa 
deve proibir isso, exceto quando for aprovado especificamente por um gerente. As situacgdes permi- 
tidas incluem: 


¢ Quando a solicitagao for feita por uma pessoa bem conhecida, com a requisic¢ao feita frente a 
frente ou pelo telefone, quando vocé pode reconhecer sem duvidas a voz do interlocutor. 


¢ Quando vocé verifica positivamente a identidade do solicitante por meio de procedimentos 
aprovados. 
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¢ Quando a acao é autorizada por um supervisor ou outra pessoa com autoridade que o solici- 
tante conhece pessoalmente. 


Os empregados devem ser treinados para nao ajudar pessoas que nao conhecem pessoalmente, 
mesmo que a pessoa alegue ser um executivo. Apés a execucao das politicas de seguranga relativas 
a verificagaéo, o gerenciamento deve dar suporte aos empregados que seguem essas politicas, mesmo 
que isso signifique desafiar um membro da equipe executiva que esta pedindo para o empregado des- 
respeitar uma politica de seguran¢a. 


Cada empresa também precisa ter politicas e procedimentos que orientem os empregados 
para responder as solicitagdes para executar alguma acgéo com computadores ou equipamento re- 
lacionado com computador. Na hist6ria sobre a editora, o engenheiro social visava um empregado 
novo que nao havia sido treinado nas politicas e procedimentos de seguranca da informa¢ao. Para 
evitar esse tipo de ataque, cada empregado novo ou experiente deve ser instruido para seguir uma 
regra simples. Nao usar nenhum sistema de computador para executar uma ac¢ao solicitada por um 
estranho. 


Lembre-se de que todo empregado que tenha acesso fisico ou eletr6nico a um computador ou 
componente de um equipamento relacionado com computador esta sujeito a ser manipulado para 
executar alguma acdo maliciosa por parte de um atacante. 


Os empregados, e particularmente o pessoal de TI, precisam entender que permitir 0 acesso de 
um estranho as suas redes de computadores € como dar o numero da sua conta bancaria para um 
operador de telemarketing ou como dar o seu cartao com o numero de telefone para um estranho 
que esta na cadeia. Os empregados devem prestar muita aten¢ao ao fato de a execucao de uma soli- 
citacao levar a divulgacao de informagédes confidenciais ou comprometer o sistema corporativo de 
computadores. 


O pessoal de TI também deve estar prevenido contra interlocutores desconhecidos que se fazem 
passar por fornecedores. Em geral, uma empresa deve pensar em ter pessoas especificas designadas 
como contatos para cada fornecedor de tecnologia, com uma politica que diga que outros empregados 
nao responderao as solicitagdes dos fornecedores que pedem informag6es ou alteragdes em qualquer 
equipamento telefOnico ou de computador. Dessa forma, 0 pessoal designado torna-se conhecido do 
pessoal do fabricante que ligar ou fizer uma visita e tem menos chance de ser enganado por um im- 
postor. Se um fornecedor ligar mesmo quando a empresa nao tiver um contrato de suporte, isso deve 
levantar suspeita. 


Todos os que trabalham na organiza¢cao precisam ter conhecimento das ameagas e vulnerabilida- 
des da seguranca da informacao. Observe que os guardas de seguranga e outros precisam receber o 
treinamento nao apenas em seguranga, mas também na seguranga da informacdo. Como os guardas 
de seguran¢a com freqiiéncia tém acesso fisico a toda a instalagao, eles devem poder reconhecer os 
tipos de ataques da engenharia social que podem ser usados contra eles. 


Cuidado com o Spyware 


O spyware comercial era muito usado pelos pais para monitorar aquilo que seus filhos estavam fazendo 
na Internet e também pelos empregadores, supostamente para determinar quais empregados estavam 
deixando de trabalhar para surfar na Internet. Um uso mais sério era para detectar o roubo potencial 
de ativos de informagées ou espionagem industrial. Os desenvolvedores comercializam 0 seu spyware 
oferecendo-o como uma ferramenta para proteger as criangas, quando, na verdade, o seu verdadeiro 
mercado so as pessoas que querem espionar alguém. Hoje em dia, a venda do spyware é motivada 
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em grande parte pelo desejo das pessoas de saberem se 0 c6njuge ou outra pessoa importante as esta 
enganando. 


Logo depois que comecei a escrever a histéria sobre 0 spyware deste livro, a pessoa que recebe 
e-mails para mim (porque nao posso usar a Internet) encontrou uma mensagem de e-mail de spam 
anunciando um grupo de produtos spyware. Um dos itens oferecido era descrito desta maneira: 


FAVORITO! OBRIGATORIO: Este poderoso programa de monitoramento e espionagem 
captura secretamente todas as teclas, a hora e o titulo de todas as janelas ativas em um 
arquivo de texto, enquanto é executado oculto no segundo plano. Os registros podem ser 
criptografados e enviados automaticamente para um endereco de e-mail especificado ou 
simplesmente gravados no disco rigido. O acesso ao programa é protegido por senha e 
pode ser oculto do menu CTRL+ALT+DEL 


Use-o para monitorar os URLs digitados, as sessdes de chat, os e-mails e muitas outras 
coisas (até mesmo senhas ;-)). 


Falha do antivirus? 


O software antivirus nao detecta o spyware comercial, tratando assim o software como nao 
malicioso mesmo que a intencao seja espionar outra pessoa. Assim sendo, 0 equivalente para 
computador, os grampos de telefone, nao podem ser percebidos e criam riscos que cada um 
de nos possa estar sendo ilegalmente monitorado a qualquer momento. Obviamente, os fabri- 
cantes de software antivirus podem argumentar que 0 spyware pode ser usado para finalidades 
legitimas e. portanto, nao deve ser tratado como malicioso. Mas determinadas ferramentas que 
ja foram usadas pela comunidade dos hackers, as quais agora sao distribuidas ou vendidas 
livremente como software relacionado com seguran¢a, sao tratadas como cédigo malicioso. 
Existem dois padrodes aqui, e eu continuo me perguntando por qué. 


Outro item que é oferecido no mesmo e-mail prometia capturar telas do computador do usuario, 
como se houvesse uma camera de video olhando por cima dos seus ombros. Alguns desses produ- 
tos de software nem exigem o acesso fisico ao computador da vitima. Basta instalar e configurar o 
aplicativo remotamente e vocé tem um grampo instantaneo de computador! O FBI deve amar essa 
tecnologia. 


Com o spyware disponivel tao facilmente, a sua empresa precisa estabelecer dois niveis de 
protecao. Vocé deve instalar o software de detec¢ao do spyware tal como o SpyCop (disponivel 
em www.spycop.com) em todas as estagdes de trabalho e deve exigir que os empregados iniciem 
varreduras periddicas. Além disso, vocé deve treinar os empregados contra o perigo de eles serem 
enganados para fazer o download de um programa ou abrir um anexo de e-mail que pode instalar o 
software malicioso. 


Além de evitar que 0 spyware seja instalado enquanto um empregado esta fora da sua mesa 
tomando um café, almocgando ou em uma reuniao, uma politica que obrigue todos os empregados 
a trancar seus sistemas de computadores com uma prote¢aéo de tela com senha ou com um método 
semelhante diminuiria substancialmente o risco de que uma pessoa nao autorizada pudesse acessar 
o computador de um funcionario. Ninguém que entrasse na sala ou no escritério da pessoa poderia 
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acessar nenhum dos seus arquivos, ler seus e-mails ou instalar spyware ou outro software malicioso. 
Os recursos necessarios para ativar protecao de tela com senha sao nulos e o beneficio de proteger as 
estagdes de trabalho dos empregados é substancial. A andlise do custo/beneficio nessa circunstancia 
nao deve dar trabalho nenhum. 


‘tte GGG GG Gee. 


Trapacas Inteligentes 


gora vocé ja deve ter desconfiado que quando um estranho liga com uma solicitacgao de 

informag6es confidenciais ou algo que possa ser de valor para um atacante, a pessoa que 

recebe a ligacao deve estar treinada para anotar o nimero de telefone do interlocutor e ligar 

e volta para verificar se a pessoa é realmente quem alega ser — um empregado da empresa, um 

empregado de um parceiro comercial ou um representante do suporte técnico de um dos seus forne- 
cedores. por exemplo. 


Mesmo quando uma empresa tem um procedimento estabelecido que deve ser seguido cuidado- 
samente pelos empregados para verificar as pessoas que estao ligando para a empresa, os atacantes 
sofisticados ainda podem usar varios truques para enganar suas vitimas e fazer com que elas acre- 
ditem que sAo quem alegam ser. Mesmo os empregados conscientes quanto a segurang¢a podem ser 
enganados por métodos tais como os descritos a seguir. 


O ID ENGANOSO 


Todos os que ja receberam uma ligagao em um telefone celular ja observaram o recurso conhecido 
como identificador de chamadas — aquela exibicao conhecida do numero do telefone de quem esta 
ligando. Em um ambiente de negécios, esse recurso oferece a vantagem de permitir que um funcio- 
nario saiba rapidamente se a ligagaéo vem de um colega ou de fora da empresa. 


Ha muitos anos alguns phreakers ambiciosos apresentaram-se as maravilhas do ID de chamadas 
antes que a empresa de telefonia tivesse permissao de oferecer 0 servico para o publico. Eles se di- 
vertiam muito enganando as pessoas ao atender ao telefone e dizer 0 nome da pessoa que ligou antes 
mesmo de elas dizerem uma palavra. 


Quando vocé come¢a a achar que a pratica de verificar a identidade, confiando naquilo que vé. é 
segura — como 0 que aparece como o ID de chamadas —, vocé descobre que é exatamente isso que 
oO atacante esta querendo. 


A ligagao telefonica de Linda 


Dia/Hora: terca-feira, 23 de julho. I2h00. 
Local: os escritorios do Departamento Financeiro da Starbeat Aviation 
O telefone de Linda Hill tocou bem quando ela estava escrevendo um memorando para o seu chefe. 


Ela olhou o ID de chamadas, 0 qual mostrava que a liga¢ao vinha do escrit6rio corporativo de Nova 
York. mas de alguém chamado Victor Martin — e nao reconheceu esse nome. 
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Ela pensou em deixar a ligac4o na secretaria eletr6nica para nao interromper o raciocinio naquele 
momento. Mas acuriosidade foi maior Ela atendeu ao telefone e o interlocutor apresentou-se e disse 
que era do Departamento de Recursos e Projetos e estava trabalhando com um material para o CEO, 
"Ele esta a caminho de Boston para reunides com alguns dos nossos banqueiros. Ele precisa dos 
principais dados financeiros do trimestre atual", ele explicou. "E mais uma coisa. Ele também precisa 
das projecdes financeiras do projeto Apache," Victor acrescentou usando o nome de cédigo de um 
produto que seria um dos principais langamentos da empresa naquele ano, 


Ela pediu o seu enderego de e-mail, mas ele respondeu que estava com problemas para receber e- 
mails e, como o suporte técnico ainda estava tentando solucionar o problema, ele pediu se ela nao pode- 
ria mandar as informagées por fax. Ela disse que sim, e ele deu 0 ramal interno do seu aparelho de fax, 


Ela enviou o fax alguns minutos mais tarde, 


Mas Victor nao trabalhava no departamento de RP. Na verdade, ele nem trabalhava na empresa. 


A historia de Jack 


Jack Dawkins havia iniciado a sua carreira profissional cedo como um batedor de carteiras nos jogos 
do Yankee Stadium, nas plataformas superlotadas do metr6 e entre os turistas noturnos de Times 
Square. Ele era tao agil e habilidoso que podia tirar 0 rel6gio do pulso de um homem sem que ele no- 
tasse. Mas como todo adolescente, ficou desajeitado e acabou sendo pego. Na prisao para jovens, ele 
aprendeu uma nova forma de contraven¢ao, a qual representava um risco bem menor de ser pego. 


Seu trabalho era obter o demonstrativo trimestral de lucros e perdas da empresa e as informac¢6es 
de fluxo de caixa antes que esses dados fossem arquivados na Comissao de Valores Mobiliarios e 
Cambio (SEC) e publicados. O seu cliente era um dentista que nao queria explicar 0 motivo pelo 
qual desejava as informacoées. Para Jack a precaugéo daquele homem era uma piada. Ele j4 conhecia 
a hist6ria — o cliente provavelmente tinha um problema de jogo ou entaéo uma linda e cara namorada 
da qual a sua mulher ainda nao tinha conhecimento. Ou talvez ele apenas tivesse dito a mulher que 
era muito inteligente ao jogar na bolsa, e agora havia perdido muito e queria fazer um grande inves- 
timento em uma coisa certa sabendo se 0 preco da acgao da empresa subiria quando eles anunciassem 
seus resultados trimestrais. 


AS pessoas se surpreendem quando descobrem como é rapido para um engenheiro social inteli- 
gente descobrir um modo de lidar com uma situagao que nunca enfrentou antes. Quando Jack voltou 
para casa da sua reuniao com o dentista, j4 tinha um plano montado. O seu amigo Charles Bates tra- 
balhava em uma empresa, a Panda Importing, a qual tinha 0 seu prdéprio PBX. 


Em termos familiares para as pessoas que conhecem os sistemas de telefonia, 0 PBX estava 
conectado a um servico de telefonia digital conhecido como TI. 0 qual estava configurado como 
Primary Rate Interface ISDN (integrated services digital network) ou PRI ISDN. Isso significava que 
sempre que uma ligacao era feita da Panda, as informacoes de configuragao e outras informagdes de 
processamento passavam por um canal de dados para a central de telefonia da empresa. As infor- 
macoes inclufam o numero de quem estava ligando, o qual (a menos que estivesse bloqueado) era 
entregue no dispositivo de ID de chamadas do receptor. 


O amigo de Jack sabia como programar a central para que a pessoa que recebesse a ligacAo visse 
em seu ID de chamadas, nao o numero real de telefone do escrit6rio da Panda, mas sim o numero 
de telefone que ele havia programado na central. Esse truque funciona porque as empresas locais de 
telefonia naéo validam o nimero da ligacao recebida do cliente com relagao ao nimero do telefone 
real pelo qual o cliente esta pagando. 
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Tudo 0 que Jack Dawkins precisava fazer era acessar qualquer um desses servicos de telefonia. 
O seu amigo e as vezes parceiro de crimes, Charles Bates, estava sempre disposto a prestar ajuda 
por uma taxa nominal. Nessa ocasiao, Jack e Charles reprogramaram temporariamente a central de 
telefones da empresa para que as ligagdes de uma determinada linha de telefone localizada nas insta- 
lagdes da Panda mostrasse 0 numero do telefone interno de Victor Martin, fazendo com que a ligacao 
parecesse vir de dentro da Starbeat Aviation. 


A idéia de que o seu ID de chamadas pode mostrar 0 nimero que vocé quiser é tao pouco conhe- 
cida que raramente é questionada. Neste caso Linda ficou satisfeita em poder enviar as informac6es 
solicitadas por fax para o funcionario que ela achava que era de RP. 


Quando Jack desligou. Charles reprogramou a central de telefone da sua empresa e restaurou o 
numero de telefone com as configura¢goes originais. 


Analisando a trapaca 


Algumas empresas nao querem que clientes ou fornecedores saibam os numeros de telefone de seus 
empregados. Por exemplo, a Ford pode resolver que as ligacg6es feitas do seu Centro de Suporte ao 
Cliente mostrem o nimero 800 do Centro e um nome como "Suporte da Ford", em vez do nimero 
real e direto de cada representante do suporte que faz uma ligacgao. A Microsoft pode dar aos seus 
empregados a op¢ao de oferecer as pessoas 0 seu nimero de telefone em vez de deixar que todos para 
quem eles ligam possam olhar seu ID de chamadas e saber qual é 0 seu ramal. Dessa forma, a empresa 
pode manter a confidencialidade dos nimeros internos. 


Mas essa mesma capacidade de reprogramacao fornece uma tatica util para o brincalhao, o cobra- 
dor, o operador de telemarketing e, obviamente, para 0 engenheiro social. 


VARIACAO: O PRESIDENTE DOS ESTADOS UNIDOS 
ESTA LIGANDO 


Como co-patrocinador de um programa de radio em Los Angeles chamado "O lado negro da Internet" 
na KF Talk Radio, trabalhei sob a supervisao do diretor de programacao da estagao. David era uma 
das pessoas mais ocupadas e trabalhadoras que j4 conheci. E muito dificil falar com ele pelo telefone 
porque ele esta sempre ocupado. Ele é uma daquelas pessoas que nao responde uma ligacdo, a menos 
que veja pelo ID de chamadas que é uma pessoa com quem ele precisa falar. 


Como tenho bloqueio de chamadas no meu celular, ele nao sabia quem estava ligando e nao aten- 
deu a ligacao. A ligacao foi para a caixa postal e isso foi muito frustrante para mim. 


Conversei sobre 0 que fazer sobre isso com um velho amigo que é co-fundador de uma empre- 
sa imobiliaria que fornece espaco de escrit6rio para empresas de alta tecnologia. Juntos criamos um 
plano. Ele tinha acesso a central de telefones Meridian da sua empresa, o que lhe dava a capacidade 
de programar o numero da chamada, como foi descrito na histé6ria anterior. Sempre que precisava 
falar com o diretor de programacéo e nao conseguia, eu pedia que 0 meu amigo programasse um 
ntimero que eu escolhia para aparecer no ID de chamadas. As vezes pedia para ele fazer com que 
a ligacao parecesse vir do escrit6rio da assistente de David, ou talvez da empresa proprietaria da 
estacao. 


O meu numero preferido era o telefone da casa de David, o qual ele atendia sempre. Entretanto. 
preciso dar um crédito a ele, que sempre tinha um 6timo senso de humor quando atendia ao telefone 
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e descobria que eu 0 havia enganado mais uma vez. A melhor parte era que ele ficava na linha o sufi- 
ciente para descobrir 0 que eu queria e resolvia 0 assunto. 


Quando demonstrei esse pequeno truque no Art Bell Show, fiz com que o meu ID de chamadas 
exibisse 0 nome e 0 numero da sede em Los Angeles do FBI. Art ficou chocado com toda a coisa e me 
advertiu que eu nao poderia fazer algo ilegal. Mas eu disse que isso era perfeitamente legal, desde que 
nao tentasse cometer nenhuma fraude. Apés o programa, recebi varias centenas de e-mails pedindo 
para explicar como eu o havia feito. Agora vocé vai saber. 


Esta é a ferramenta perfeita para criar credibilidade para o engenheiro social. Se, por exemplo, 
durante 0 estagio de pesquisa do ciclo de ataques da engenharia social, for descoberto que o alvo 
tem um ID de chamadas, 0 atacante pode colocar seu préprio nimero como sendo de uma empresa 
ou empregado de confianga. Um cobrador pode fazer com que a sua ligacao venha do seu local de 
trabalho. 


Mas pare e pense sobre as implicagdes disso. Um invasor de computador pode ligar para sua 
casa alegando ser do departamento de TI da sua empresa. A pessoa que ligou precisa urgentemente 
da sua senha para restaurar os arquivos de um servidor em pane. O ID de chamadas também pode 
exibir 0 nome e 0 nimero do seu banco ou corretora, a garota de voz bonita parece precisar apenas 
verificar os seus nimeros de conta e o nome de solteira da sua mae. Como medida de seguranga, ela 
também precisa verificar 0 seu cédigo de caixa eletrénico por causa de algum problema no sistema. 
Uma telefonista da sala da bolsa de valores pode fazer com que suas ligagdes paregam vir da Merrill 
Lynch ou do Citibank. Alguém que quer roubar a sua identidade pode ligar, aparentemente da Visa, 
e convencé-lo a lhe dar o seu numero do cartao Visa. Um cara rancoroso pode ligar e dizer ser da 
Receita Federal ou da Policia Federal. 


Se vocé tiver acesso a um sistema de telefones conectado a um PRI e mais um pouco de conheci- 
mento de programacdo que provavelmente pode adquirir no site Web do fabricante do sistema, vocé 
pode usar essa tatica para planejar truques legais para aplicar nos seus amigos. Vocé conhece alguém 
com ambiciosas aspiracées politicas? Vocé pode programar o nimero como 202 456-1414, e seu ID 
de ligacao exibira o nome "CASA BRANCA". 


Ele vai pensar que esta recebendo uma ligac¢ao do presidente! 


A moral da histéria é simples: nao confie no ID de chamadas, exceto quando ele for usado para 
identificar ligagdes internas. Tanto em casa quanto no trabalho, todos precisam ter consciéncia desse 
truque e reconhecer que 0 nome ou o nimero de telefone mostrado em um ID de chamadas nao pode 
ser usado como uma verificacao de identidade confiavel. 


Recado do 


Da proxima vez que vocé receber uma ligacao e o ID mostrar que ela vem da mamae, 
nao confie — ela pode estar vindo de um amavel engenheiro social. 


O EMPREGADO INVISIVEL 


Shirley Cutlass encontrou uma nova e interessante forma de ganhar dinheiro rapido. Nao é mais pre- 
ciso trabalhar duro nas minas de sal. Ela se juntou a centenas de outros artistas do golpe envolvidos 
no crime da década. Ela é uma ladra de identidades. 
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Hoje ela voltou a sua atencao para a obten¢ao de informacgées confidenciais do departamento de 
servico ao cliente de uma administradora de cartdes de crédito. Apés fazer a ligao de casa normal. 
ela liga para a empresa-alvo e diz para 0 operador que atende que gostaria de ser transferida para o 
Departamento de Telecomunicag6es. Quando a ligacaéo é completada, ela pede para falar com o ad- 
ministrador da caixa postal. 


Usando as informagoes coletadas na sua pesquisa, ela explica que 0 seu nome é Norma Todd e 
que trabalha no escrito6rio em Cleveland. Usando um truque que agora ja deve ser familiar para vocé. 
ela diz que vai viajar para a sede corporativa por uma semana, e vai precisar de uma caixa postal 14 
para que nao tenha de fazer ligac6es interurbanas para verificar suas mensagens. Ela nem precisa de 
uma conexao de telefone fisica, uma caixa postal de voice mail basta. Ele diz que vai cuidar disso e 
que liga depois quando estiver pronto com as informac6es que ela vai precisar. 


Com voz sedutora, ela explica: "Estou a caminho de uma reuniao, posso ligar de volta em 
uma hora?" 


Quando ela liga de volta, ele conta que esta tudo pronto e fornece as informagdes — o numero 
do ramal e a senha temporaria. Ele pergunta se ela sabe como mudar a senha da caixa postal e ela dei- 
xa que ele a ensine, embora saiba tao bem quanto ele. 


"E por falar nisso", ela pergunta, "qual nimero eu disco do meu hotel para verificar minhas men- 
sagens?". Ele Ihe da o nimero. 


Shirley telefona, muda a senha e grava a sua nova mensagem. 


Shirley ataca 


Até agora foi tudo facil. Ela ja esta pronta para usar a arte da fraude. 


Ela liga para o departamento de servi¢o ao cliente da empresa. "Sou da Cobranga do escrit6ério 
de Cleveland", ela afirma, e inicia uma variacgao da conhecida desculpa "0 meu computador esta 
sendo consertado pelo suporte técnico e preciso da sua ajuda para procurar algumas informacoées". 
Ela fornece 0 nome e a data de nascimento da pessoa cuja identidade ela pretende roubar. Em segui- 
da. relaciona as informagdes que quer: 0 enderecgo, 0 nome de solteira da mae, o nimero do cartao, 
o limite de credito, o saldo disponivel e 0 histérico de pagamentos. "Ligue de volta para mim neste 
numero", ela diz, e dé o nimero do ramal interno que o administrador da caixa postal criou para ela. 
"E se eu nao estiver disponivel, por favor deixe as informagoes na minha caixa postal." 


Ela se mantém ocupada no restante da manha e, em seguida, verifica a sua caixa postal a tarde. 
Esta tudo 14, tudo que pediu. Antes de desligar, Shirley limpa a mensagem; nfo seria cuidadoso deixar 
para tras uma gravacao da sua voz. 


E 0 roubo de identidade, 0 crime de maior crescimento da América, 0 crime "in" do novo século, 
esta para fazer outra vitima. Shirley usa as informagoées de identidade e do cartao de crédito que aca- 
bou de obter e come¢a a fazer compras no cartao da vitima. 


Analisando a trapaca 


Neste golpe o atacante primeiro enganou o administrador de caixa postal da empresa para que ele 
acreditasse que ela era uma funciondria e criasse uma caixa postal temporaria. Se ele se desse ao 
trabalho de fazer uma verificacao, teria descoberto que 0 nome e o ntmero de telefone que ela deu 
coincidiam com as listagens do banco de dados de funcionarios da corpora¢ao. 
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O restante era apenas uma questao de dar uma desculpa razoavel sobre um problema no compu- 
tador, pedir as informa¢oes desejadas e solicitar que a resposta fosse deixada na caixa postal. E por 
que algum empregado relutaria em compartilhar das informa¢gdes com um colega? Como o ntmero 
de telefone que Shirley deu era, sem dtivida, um ramal interno, nao havia motivo para nenhuma 
suspeita. 


Recado do 


Tente ligar para a sua propria caixa postal de vez em quando. Se ouvir uma mensagem 
que nao é a sua, vocé pode ter acabado de encontrar o seu primeiro engenheiro social. 


A SECRETARIA ATENCIOSA 


Cracker Robert Jorday invadia regularmente as redes de computadores de uma empresa global, a 
Rudolfo Shipping, Inc. A empresa por fim reconheceu que alguém estava atacando o seu servidor de 
terminais e que por meio daquele servidor 0 usuario poderia se conectar a qualquer sistema de com- 
putadores da empresa. Para salvaguardar a rede corporativa, a empresa resolveu exigir uma senha de 
discagem em cada servidor de terminal. 


Robert ligou para o Centro de Operagoes de Rede fingindo ser um advogado do departamento 
Juridico e disse que estava com problemas para se conectar a rede. O administrador explicou que eles 
tiveram alguns problemas recentes de seguran¢a e que os usuarios de acesso por discagem teriam de 
obter a senha mensal com seus gerentes. Robert queria saber qual método estava sendo usado para 
comunicar a senha de cada més para os gerentes e como ele poderia obté-la. A resposta foi que a senha 
do pr6ximo més seria enviada em um memorando por meio do correio eletronico do escritério para 
cada gerente da empresa. 


Isso facilitava as coisas. Robert pesquisou um pouco, ligou para a empresa ap6s o primeiro dia 
do més e falou com a secretaria de um dos gerentes, a qual Ihe deu 0 nome de Janet. Ele disse: "Oi, 
Janet. Aqui é Randy Goldstein, de Pesquisa e Desenvolvimento. Sei que provavelmente ja recebi o 
memorando com a senha deste més para a conex4o no servidor de terminais de fora da empresa, mas 
nao o estou encontrando. Vocé ja recebeu 0 seu memorando deste més?" 


Sim, ela disse que ja havia recebido. 


Recado do 


v4 


O engenheiro social habilidoso é€ muito inteligente e consegue influenciar as outras 
pessoas para que elas prestem favores a ele. O recebimento de um fax e o seu encami- 
nhamento para outra localizagao parece ser tao inofensivo que é facil convencer uma 
recepcionista ou outra pessoa a fazer isso. Quando alguém pede um favor envolvendo 
informacgoes, se vocé nao o conhecer ou nao puder verificar a sua identidade, simples- 
mente diga nao. 


Ele perguntou se ela poderia envia-lo por fax para ele e ela concordou. Ele deu o numero do fax 
da recepcionista de um prédio diferente na sede da empresa, e j4 havia tomado providéncias para 
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que os faxes fossem guardados e, em seguida, enviados para ele. Desta vez, porém. Robert usou um 
método de encaminhamento de fax diferente. Ele deu a recepcionista 0 nimero de um fax que caia 
em um servico de fax on-line. Quando esse servico recebe um fax, um sistema automatizado 0 envia 
para o endereco de correio eletr6nico do assinante. 


A nova senha chegou no e-mail que Robert criou em um servigo de correio eletr6nico gratis 
na China. Ele tinha certeza de que se o fax fosse rastreado, 0 investigador ficaria desesperado 
tentando ter a cooperacao dos oficiais chineses, os quais, como ele sabia, relutavam em ajudar 
nessas questOes. O melhor de tudo é que ele nunca precisou aparecer fisicamente na localiza¢gao 
da maquina de fax. 


TRIBUNAL DE TRANSITO 


Provavelmente todos que ja tiveram uma multa por excesso de velocidade ja sonharam em encontrar 
uma maneira de nao paga-la. Nao indo para a escola de transito ou simplesmente tentando conven- 
cer o juiz de algum detalhe técnico tal como a velocidade permitida, tempo da notificagao da multa, 
desde que 0 velocimetro do carro de policia ou 0 equipamento de radar nao fossem verificados. Nao, 
oO cenario mais interessante seria nado pagar a multa enganando o sistema. 


O golpe 


Embora nao recomende que vocé experimente este método de burlar uma multa de transito (como 
se diz. nao tente fazer em casa), mesmo assim este € um bom exemplo de como a arte da fraude 
pode ser usada para ajudar o engenheiro social. Vamos chamar este infrator de transito de Paul 
Durea. 


Primeiras etapas 


"LAPD, Divisao Hollenbeck." 
"Oi, gostaria de falar com o Controle de Intimag6ées." 
"Eu sou o atendente de intimacoes." 


"Bom. Aqui € 0 advogado John Leland, da Meecham, Meecham, and Talbott. Preciso 
intimar um oficial sobre um caso." 


"Muito bem, quem é o oficial?" 

"Vocé tem um Oficial Kendall na sua divisao?" 
"Qual 6 o seu numero de série." 

"21349." 

"Sim. Quando vocé precisa que ele esteja la?" 


"No proximo més. mas preciso intimar diversas outras testemunhas do caso e, em 
seguida, tenho de dizer ao tribunal quais dias serao bons para nos. Existe algum dia 
no proximo més em que o Oficial Kendall nao estara disponivel?" 


"Vejamos... Ele tem férias entre os dias 20 e 23 e treinamento nos dias 8 e 16." 


"Obrigado. Isso € tudo o que eu preciso agora. Ligo novamente quando a data do 
julgamento estiver marcada." 
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Tribunal Municipal, Balcao de Atendimento 


Paul: "Gostaria de marcar uma data de julgamento para uma multa de transito." 

Atendente: "Muito bem. Pode ser no dia 26 do proximo més?" 

"Bem, gostaria de marcar uma apelacao." 

"Vocé quer uma apelacao para uma multa de transito?" 

Sim. 

"Muito bem. Podemos marcar a apelagao para amanha de manha ou a tarde. Como vocé 
prefere?" 

"A tarde." 

"A apelagao sera amanha, 13h30, na sala de julgamento seis." 


"Obrigado, estarei la." 


Tribunal Municipal, Sala de Julgamento Seis 


Data: terca-feira, 13h45. 

Atendente: "Sr. Durea, por favor, se aproxime." 

Juiz: "Sr. Durea, o senhor entende os direitos que lhe foram explicados esta tarde?" 
Paul: "Sim, Meritissimo." 


Juiz: "Quer aproveitar a oportunidade e frequentar a escola de transito? O seu caso sera 
fechado apos a conclusao de um curso de oito horas. Verifiquei seus registros eo 
senhor tem esse direito no momento." 

Paul: "Nao. Meritissimo. Solicito respeitosamente que o caso seja enviado para 
julgamento. Mais uma coisa. Meritissimo. Estarei fora do pais, mas estarei 
disponivel nos dias 8 ou 9. Seria possivel marcaro meu julgamento em um desses 
dias? Estou indo para a Europa a negocios amanha e volto em quatro semanas." 

Juiz: ‘Muito bem. O julgamento esta marcado para 8 de junho as 8h30, sala de jul- 
gamento quatro." 


Paul: "Obrigado, Meritissimo," 


Tribunal Municipal, Sala de Julgamento Quatro 


Paul chegou cedo no dia 8. Quando o juiz chegou, o atendente deu-lhe uma lista dos 
casos nos quais os oficiais nao apareceram. Ojuiz chamou os acusados, incluindo Paul, 
e disse que seus casos estavam encerrados. 


Analisando a trapaca 


Quando um oficial lavra uma multa, ele a assina com 0 seu nome e o ntmero do seu cracha (ou o 
seu nimero pessoal usado pelo departamento). Encontrar a delegacia é facil. Uma liga¢ao para o au- 
xilio a lista com o nome do departamento mostrado na citacao (patrulha rodoviaria, delegacia local 
ou outro) é suficiente para colocar os pés 14 dentro. Apés o contato com a agéncia, eles podem dar 
o numero correto do telefone de um atendente de citagdes que atende a area geografica na qual a 
ocorréncia foi feita. 
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Os policiais sao intimados a aparecer em juizo com regularidade, de acordo com o territorio. 
Quando um promotor publico ou um advogado de defesa precisam que um oficial testemunhe, se ele 
souber como o sistema funciona, primeiro verifica se 0 oficial estara disponivel. Isso é facil de fazer; 
basta uma liga¢do telefOnica para o atendente de intimacoes daquela agéncia. 


Em geral, nessas conversas 0 advogado pergunta se o oficial em questao estara disponivel em tal 
data. Para este golpe, Paul precisava ter um pouco de tato. Ele tinha de oferecer um motivo plausivel 
para que o atendente lhe dissesse as datas em que o oficial ndo estaria disponivel. 


Quando foi ao tribunal pela primeira vez, por que Paul simplesmente nao disse ao atendente da 
corte a data que ele queria? Pelo que entendi, os atendentes do tribunal de transito na maior parte dos 
lugares nado permitem que membros do publico selecionem as datas de julgamento. Se uma data suge- 
rida pelo atendente nao servir para a pessoa, ela tem uma ou duas alternativas, mas isso é 0 maximo 
que consegue. Por sua vez, todos que estiverem dispostos a aparecer para uma apelacao tém mais 
chances de ter sorte. 


Paul sabia que ele tinha direito a uma apelacao. E sabia que os juizes quase sempre estao dispos- 
tos a atender uma solicitagao de data especifica nesses casos. Assim sendo, pediu cuidadosamente as 
datas que coincidiam com os dias de treinamento do oficial, sabendo que nesse estado o treinamento 
do oficial tem precedéncia sobre 0 comparecimento ao tribunal de transito. 


Recado do 


A mente humana é uma criacgdo maravilhosa. E interessante notar como as pessoas 
podem ser criativas para desenvolver modos fraudulentos de conseguir o que querem 
ou de se livrarem de uma situacao dificil. Vocé tem de usar a mesma criatividade e ima- 
ginacao para salvaguardar as informacoes e os sistemas de computadores dos setores 
publicos e privados. Assim sendo, pessoal, ao criarem as politicas de seguranca da sua 
empresa, sejam criativos e pensem de forma inovadora. 


E, no tribunal de transito, quando o oficial nao aparece, o caso é encerrado. Sem multas, sem 
escola de transito, sem problemas. E 0 melhor de tudo é que nao fica nenhum registro da infragao de 
transito! 


Acho que alguns oficiais de policia, oficiais de tribunais, promotores publicos e outros lerao esta 
historia e balangarao a cabe¢ca porque sabem que esse golpe funciona. Mas balangar a cabe¢a é tudo 
que podem fazer. Nada vai mudar. Estaria disposto a aceitar uma aposta. Como diz o personagem 
Cosmo, no filme Sneakers, de 1992: "Tudo se resume a uns e zeros" — isso significa que no final 
tudo se resume as informacoes. 


Enquanto os departamentos de policia estiverem dispostos a dar informagées sobre a escala de 
um oficial para quase todos que ligarem, a capacidade de se livrar das multas de transito continuara 
existindo. Vocé tem lacunas semelhantes nos procedimentos da sua empresa ou organizacao, as quais 


podem ser usadas por um engenheiro social inteligente para obter as informacg6ées que vocé preferiria 
que ele nao tivesse? 


A VINGANGA DE SAMANTHA 


Samantha Gregson estava zangada. 
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Ela havia trabalhado muito na sua tese de bacharelado em administragao e acumulou uma pilha 
de financiamentos para educacao para realiza-la. Ela sempre ouviu falar que uma faculdade era o 
modo de conseguir uma carreira, em vez de um emprego, e ganhar muito dinheiro. E quando se for- 
mou, nao conseguiu encontrar um trabalho decente em lugar nenhum. 


Ela ficou muito feliz ao receber uma proposta da Lambeck Manufacturing. Certamente, era 
humilhante aceitar a posi¢ao de secretaria, mas o Sr. Cartright havia dito que estava ansioso para 
contrata-la e essa posicao de secretaria lhe daria a chance de se candidatar para a proxima posi¢ao 
interessante que surgisse. 


Dois meses mais tarde ela ficou sabendo que o gerente de produtos junior de Cartright estava 
saindo. Ela mal pode dormir naquela noite, imaginando a si mesma no quinto andar em um escritério 
com porta, participando de reunides e tomando decisoes. 


Na manha seguinte a primeira coisa que fez foi falar com o Sr. Cartright. Ele disse que eles 
achavam que ela precisava aprender mais sobre a empresa antes de estar pronta para uma posicao 
de geréncia. E, em seguida, contrataram um amador de fora que sabia menos sobre a empresa do 
que ela. 


Nessa época ela comec¢ou a pensar: a empresa tem muitas mulheres, mas em sua maior parte elas 
eram todas secretarias. Eles jamais lhe dariam um emprego na administracao. 


O troco 


Levou quase uma semana para ela descobrir como lhes daria 0 troco. Cerca de um més antes um 
rapaz de uma revista especializada havia tentado suborna-la quando veio participar do langamento 
do novo produto. Algumas semanas depois, ele ligou para ela no trabalho e disse que lhe enviaria 
flores se ela lhe desse algumas informag6es antecipadas sobre o produto Cobra 273, e se essas infor- 
macoes fossem realmente boas e ele as usasse na revista, ele faria uma viagem especial até Chicago 
para leva-la para jantar. 


Um dia depois disso ela havia estado no escritério do Sr. Johannson logo depois de ele ter feito o 
login na rede corporativa. Sem pensar, ela observou seus dedos {surfar sobre os ombros, como tam- 
bém é chamado). Ele havia inserido a senha "marty63". 

O seu plano estava comecando a tomar forma. Ela se lembrava de ter digitado um memorando 
nao muito tempo depois que entrou na empresa. Encontrou uma copia nos arquivos e digitou uma 
nova versao usando a linguagem do memorando original. A sua versao dizia: 


PARA: C. Pania, departamento de TI 
DE: L. Cartright, Desenvolvimento 


Martin Johannson vai trabalhar com uma equipe de projetos especiais no meu de- 
partamento. 


Eu o autorizo a ter acesso aos servidores usados pelo grupo de engenharia. O perfil 
de seguranga do Sr. Johannson deve ser atualizado para que ele tenha os mesmos 
direitos de acesso de um desenvolvedor de produto. 


Louis Cartright 


Quando a maioria das pessoas saiu para almocar, ela recortou a assinatura do Sr. Cartright do 
memorando original e, em seguida, colou-a na sua nova versdo e passou corretivo branco nas laterais 
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SURFAR SOBRE OS OMBROS 0 ato de observar uma pessoa digitando no teclado do 
computador para descobrir e roubar sua senha ou outras informacoes de usuario. 


do papel recortado. Fez uma copia do resultado e uma cépia da cépia. Mal dava para ver as laterais 
ao redor da assinatura. 


Ela enviou o fax da maquina do escritorio do Sr. Cartright. 


Trés dias depois ela ficou até mais tarde e esperou até que todos fossem embora. Ela foi ao es- 
critério de Johannson e tentou fazer o login na rede com 0 nome de usuario e a senha marty63. Isso 
funcionou. 


Em minutos ela havia localizado os arquivos de especificagao de produto do Cobra 273 e havia 
feito o seu download para um disco Zip. O disco estava em seguranga na sua bolsa enquanto cami- 
nhava pela noite fria até o estacionamento. O disco seria enviado para o reporter naquela noite. 


Analisando a trapaca 


Um empregado zangado, uma pesquisa nos arquivos, uma operacao rapida de recortar, colar e pas- 
sar corretivo, algumas copias criativas e voila — ela teve acesso as especificacgdes confidenciais de 
marketing e produto. 


E alguns dias depois, um jornalista especializado publica um furo de reportagem com as especi- 
ficagdes e os planos de marketing de um novo produto que estara nas maos dos assinantes da revista 
e de toda a industria meses antes do langcamento do produto. As empresas concorrentes terao varios 


meses para desenvolver produtos equivalentes e criarem suas campanhas publicitarias para derrotar 
o Cobra 273. 


Naturalmente a revista nunca dira quem lhes deu o furo. 


EVITANDO A TRAPACA 


Quando solicitados a darem informag6es valiosas, confidenciais ou criticas com as quais um con- 
corrente ou outra pessoa pode se beneficiar, os empregados devem estar cientes de que 0 uso do ID 
de chamadas como um meio de verificar a identidade de um interlocutor externo nao é um método 
aceitavel. Alguns outros meios de verificagaéo devem ser usados, tais como verificar com o supervisor 
da pessoa se a solicitagao foi apropriada e se 0 usuario tem autorizacao para receber as informacoes. 


O processo de verificagao requer um ponto de equilfbrio que cada empresa deve definir ela 
mesma: segurancga versus produtividade. Qual prioridade sera dada a implantacgao das medidas de 
seguranca? Os empregados resistirao aos procedimentos de segurang¢a e mesmo assim os burlarao 
para concluir as responsabilidades do seu cargo? Os empregados entendem o motivo pelo qual a 
seguranca € importante para a empresa e para si mesmos? Essas questOes precisam ser respondidas 
para desenvolver uma politica de seguranga baseada na cultura corporativa e nas necessidades de 
negocios. 


A maioria das pessoas inevitavelmente encara como um aborrecimento tudo aquilo que interfira 
na sua capacidade de fazer o trabalho e pode burlar todas as medidas de seguran¢a que parecam ser 
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uma perda de tempo. A motivacao dos empregados para que a seguran¢a faca parte das suas respon- 
sabilidades didrias por meio da educacéo e da conscientiza¢ao é vital. 


Embora 0 servico de ID de chamadas nunca deva ser usado como um meio de autenticacao das 
chamadas por voz de fora da empresa, outro método chamado identificagao automatica de numero 
(ANI) pode ser usado. Esse servico é fornecido quando uma empresa assina os servicos de ligacao 
gratis em que paga as ligacOes recebidas e tem direito a identificagaéo. Ao contrario do ID de chama- 
das, a central da empresa de telefonia nado usa nenhuma informa¢éo que seja enviada de um cliente 
quando fornece 0 numero da ligagao. O nimero transmitido pelo ANI é o ntmero de faturamento 
designado a parte de quem esta ligando. 


Observe que diversos fabricantes de modem ja inclufram o recurso de ID de chamadas em seus 
produtos, protegendo as redes corporativas e recebendo apenas as ligagdes de acesso remoto que 
estao em uma lista de nimeros de telefone pré-autorizados. Os modems com ID de chamadas sao um 
meio aceito de autenticagdo em um ambiente de baixa seguranga, mas, como ja deve ter ficado claro. 
Os invasores de computadores conseguem burlar facilmente o ID de chamadas, e este nao deve ser 
usado para provar a identidade ou a localizagao de quem liga para um ambiente de alta seguranga. 


Para abordar 0 caso de roubo de identidade, como na histéria sobre como enganar um adminis- 
trador para que ele crie uma caixa postal de voice mail no sistema de telefones da empresa, crie uma 
politica na qual todo o servico de telefonia, todas as caixas postais de voice mail e todas as entradas 
na lista corporativa, tanto impressas quanto on-line, sejam solicitadas por escrito em um formuldrio 
fornecido para essa finalidade. O gerente do empregado deve assinar a solicitagao e o administrador 
da caixa postal deve verificar a assinatura. 


A politica de seguranga corporativa deve exigir que as contas de computador novas ou atualiza- 
¢des nos direitos de acesso sejam concedidas apenas apos a verificacdo positiva da pessoa que faz a 
solicitagéo, tal como uma ligacao para o gerente ou administrador do sistema ou seu representante 
no numero de telefone relacionado no diret6rio impresso ou on-line da empresa. Se a empresa usar 
oO correio eletr6nico seguro no qual os empregados podem assinar digitalmente as mensagens, esse 
método de verifica¢ao alternativo também pode ser aceito. 


Lembre-se de que cada empregado, independentemente de ter ou nao acesso aos sistemas de com- 
putadores da empresa, pode ser enganado por um engenheiro social. Todos devem ser incluidos no 
treinamento de segurang¢a. Os assistentes administrativos, as recepcionistas, os operadores de telefone 
e os guardas de seguranc¢a devem estar familiarizados com os tipos de ataques da engenharia social que 
podem sofrer. Dessa forma, eles estaraéo mais preparados para se defender desses ataques. 


oe oe ee 


A Espionagem Industrial 


ameaca de ataques contra as informacgées do governo, das corporagoes e dos sistemas univer- 

sitarios € bem conhecida. Quase todos os dias, os meios de comunicagao reportam um novo 

virus de computador, ataques de navegacao de servi¢co ou uma fraude envolvendo cart6es de 
crédito em um site de comércio eletr6nico. 


Lemos sobre casos de espionagem industrial, tal como a Borland acusando a Symantec pelo rou- 
bo de informag6ées sigilosas, a Cadence Design Systems processando um concorrente pelo roubo do 
cédigo-fonte de um produto. Muitas pessoas de negécios léem as historias e pensam que isso nunca 
acontecera com a sua empresa e, na verdade, isso acontece todos os dias. 


VARIACAO SOBRE UM MESMO ESQUEMA 


O golpe descrito na pr6xima histéria provavelmente foi aplicado muitas vezes, embora pareca ser 
tirado de um filme de Hollywood, como o O Informante, ou das paginas de um romance de John 
Grisham. 


Acao de classe 


Imagine que uma acao coletiva movida por uma classe esteja assolando uma grande empresa farma- 
céutica, a Pharmomedic. A acao diz que eles sabiam que uma de suas drogas mais conhecidas tinha 
um efeito colateral devastador, mas que esse efeito nao seria conhecido até que um paciente 0 tomasse 
durante varios anos. A acao alega que eles tinham resultados de diversos estudos de pesquisa que re- 
velavam esse perigo, mas que suprimiam a evidéncia e nunca chegavam ao FDA como deveriam. 


William ("Billy") Chaney, o advogado responsavel pela agao na empresa de advocacia de Nova 
York que entrou com a acao coletiva, tem os testemunhos de dois médicos da Pharmomedic que fun- 
damentam a causa. Mas ambos estao aposentados, eles nao tém arquivos ou documentacao e nenhum 
deles seria uma testemunha forte e convincente. Billy sabe que esta caminhando em areia movediga. 
A menos que possa conseguir uma copia de um daqueles relatorios ou de algum memorando interno 
ou comunicagao entre os executivos da empresa, toda a acao sera inutil. 


Assim sendo, ele contrata uma empresa que ja utilizou antes: a Andreeson and Sons, de detetives 
particulares. Billy nado sabe como Pete e o seu pessoal conseguem fazer 0 que fazem, e nem quer 
saber Tudo 0 que sabe é que Pete Andreeson é um bom detetive. 


Para a Andreeson, um trabalho como esse é aquilo que chama de um trabalho de caixa preta. A 
primeira regra utilizada é garantir que os escrit6rios de advocacia e as empresas que os contratam 
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nunca saibam como eles obtém essas informag6es para sempre negarem tudo de forma plausivel. Se 
alguém vai enfiar os pés em Agua fervendo, esse alguém sera Pete e, pelo que ele recebe pelos gran- 
des trabalhos, ele calcula que 0 risco compensa. Além disso, ele tem a satisfagaéo pessoal de ser mais 
inteligente do que as pessoas inteligentes. 


Sc os documentos que Chaney quer que ele encontre realmente existiram e nao foram destrui- 
dos, eles terao de estarem algum lugar dos arquivos da Pharmomedic. Mas encontra-los em meio 
aos inimeros arquivos de uma grande corpora¢aéo é uma tarefa gigantesca. Por outro lado, suponha- 
mos que eles tenham passado copias para a sua empresa de advocacia, a Jenkins and Petry. Se os 
promotores publicos sabiam daqueles documentos e no os apresentaram como parte do processo de 
descoberta, entao eles violaram a ética da profissao e violaram também a lei. Pela cartilha de Pete, 
isso torna qualquer ataque justo. 


O ataque de Pete 


Pete faz com que algumas das pessoas que trabalham para ele realizem uma pesquisa e em ques- 
tao de dias descobre em qual empresa a Jenkins and Petry armazena os seus backups externos. E 
descobre que a empresa de armazenamento mantém uma lista com os nomes das pessoas auto- 
rizadas pela empresa de advocacia a pegarem as fitas do armazenamento. Ele também descobre 
que cada uma dessas pessoas tem a sua propria senha. Pete envia duas pessoas em uma missao 
de caixa preta. 


Os homens abrem 0 cadeado usando uma arma para abrir cadeados que pode ser comprada na 
Web em www.southord.com. Em alguns minutos eles entram nos escrit6rios da empresa de arma- 
zenamento 1a pelas 3 horas da manha e inicializam um PC. Eles sorriem quando véem o logotipo 
do Windows 98 porque isso significa que o trabalho sera facil. O Windows 98 nao requer nenhuma 
forma de autenticagao. Apos um pouco de pesquisa, eles localizam um banco de dados do Microsoft 
Access com os nomes das pessoas que cada um dos clientes da empresa de armazenamento autori- 
zou para pegar as fitas. Eles incluem um nome falso na lista de autorizagoes da Jenkins and Petry, um 
nome igual aquele de uma carteira de motorista falsa que um dos homens ja havia conseguido. Eles 
poderiam ter invadido a 4rea trancada e tentado localizar as fitas que o cliente queria? E claro que 
sim. Mas, nesse caso, todos os clientes da empresa, incluindo a empresa de advocacia certamente, 
seriam notificados sobre a invasdo. E os atacantes teriam perdido uma vantagem: os profissionais 
sempre gostam de deixar uma porta aberta para acesso futuro, caso precisem. 


Seguindo uma pratica-padrao dos espides industriais de manter algo no bolso do colete para uso 
futuro, eles também fizeram uma cépia em disquete do arquivo que continha a lista de autorizacoes. 
Nenhum deles sabia quando isso poderia ser util, mas essa era uma das coisas do tipo "Ja que estamos 
aqui, vamos aproveitar", que de vez em quando podem ser aproveitadas. 


No dia seguinte, um daqueles mesmos homens ligou para a empresa de armazenamento usando 
oO nome que haviam incluido na lista de autorizac6es e deu a senha correspondente. Ele pediu todas 
as fitas da Jenkins and Petry datadas desde o Ultimo més e disse que um servico de mensageiros 
passaria 14 para pegar o pacote. No meio da tarde, Andreeson tinha as fitas. O seu pessoal restaurou 
todos os dados para seu préprio sistema de computadores e fez a pesquisa. Andreeson estava muito 
satisfeito com o fato de a empresa de advocacia, assim como a maioria das outras empresas, n4o ter 
se importado em criptografar seus dados de backup. 


As fitas foram devolvidas 4 empresa de armazenamento no dia seguinte e ninguém se deu 
conta. 


————————_—_—_ 
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Analisando a trapaca 


Devido a fraca seguranga fisica, os espides puderam facilmente abrir 0 cadeado da empresa de arma- 
zenamento, ter acesso ao computador e modificar o banco de dados que continha a lista de pessoas 
autorizadas a acessar a unidade de armazenamento. A inclusao de um nome a lista permitiu que os 
impostores obtivessem as fitas de backup de computador que estavam procurando, sem ter de invadir 
a unidade de armazenamento da empresa. Como a maioria das empresas nAo criptografa os dados de 
backup, as informag6es estavam a sua disposi¢ao. 


Recado do 


As informacoes valiosas devem estar protegidas independente da forma assumida ou do 
local onde estao armazenadas. A lista de clientes de uma organizagao tem o mesmo valor 
seja na forma impressa seja em um arquivo eletronico no seu escritorio ou em um cofre. 
05 engenheiros sociais sempre preferem o ponto de ataque mais facil e menos defendido. 
As instalagoes de armazenamento de backup externas a uma empresa sao vistas como 
menos arriscadas. Cada organizacao que armazena dados valiosos, confidenciais ou cri- 
ticos com terceiros deve criptografar seus dados para proteger a sua confidencialidade. 


Esse incidente fornece mais um exemplo de como uma empresa fornecedora que nao toma me- 
didas razoaveis de precaucao pode facilitar 0 comprometimento das informacoes de seus clientes por 
parte de um atacante. 


O NOVO PARCEIRO DE NEGOCIOS 


Os engenheiros sociais ttm uma grande vantagem sobre os golpistas e trapaceiros, e essa vantagem é 
a distancia. Um trapaceiro s6 pode enganar vocé se estiver na sua presenga, 0 que permite que depois 
vocé dé uma boa descricao dele ou mesmo ligue para a policia se descobrir 0 golpe suficientemente 
cedo. 


Os engenheiros sociais evitam esse risco como se ele fosse uma praga. Eventualmente, porém, o 
risco é necessario e justificado pela boa recompensa. 


A historia de Jessica 


Jessica Andover estava muito feliz porque havia conseguido um emprego em uma empresa de roboti- 
ca. Esse seria apenas 0 inicio e eles nao podiam pagar muito, mas a empresa era pequena, as pessoas 
amistosas e havia a esperanga de saber que as suas opcodes de acdo poderiam deixa-la rica. Mui- 
to bem, talvez ela nao ficasse miliondria como os fundadores da empresa, mas mesmo assim ela seria 


bem rica. 
Foi por isso que Rick Daggot tinha um sorriso radiante quando entrou na recepcao naquela manha 
de terca-feira de agosto. Em seu terno de aparéncia cara (Armani), usando um pesado reldégio de pulso 


de ouro (um Rolex President) e um impecavel corte de cabelo, ele tinha aquele mesmo ar de con- 
fianga que deixava todas as garotas loucas quando Jessica estava no colégio. 


"Oi", ele disse. "Sou Rick Daggot e estou aqui para uma reuniao com Larry." 
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Jessica sorriu sem graca. "Larry?", ela indagou. "Larry esta de férias esta semana." 


"Tenho um hora marcada com ele a uma da tarde. Acabei de voar de Louisville para encontra-lo", 
disse Rick, tirando 0 seu Palm e ligando-o para mostrar a ela. 


Ela olhou para o Palm e balangou levemente a cabeca. "No dia 20", ela leu. "Isso é na préxima 
semana." Ele pegou o palmtop de volta e ficou olhando para ele. "Ah, nao!", ele resmungou. "Nao 
posso acreditar que cometi um erro assim tao estipido." 


"Posso pelo menos reservar 0 v6o de volta?", ela perguntou sentindo pena dele. 


Enquanto ela fazia a ligacao telef6nica, Rick estava confiante de que ele e Larry haviam conse- 
guido fazer uma alianga estratégica de marketing. A empresa de Rick estava produzindo produtos 
para a manufatura e linha de montagem, itens que complementariam perfeitamente seu novo produto, 
o C2Alpha. Os produtos de Rick e 0 C2Alpha juntos formariam uma solucao forte que abriria impor- 
tantes mercados industriais para ambas as empresas. 


Quando Jessica terminou de fazer a reserva para o Ultimo v6o da tarde, Rick pediu: "Bem. pelo 
menos posso falar com Steve se ele estiver disponivel?" Mas Steve, vice-presidente e co-fundador da 
empresa, também n§o estava no escrit6rio. 


Rick, sendo muito amistoso com Jessica e flertando um pouco, sugeriu que, ja que ele estava lae 
que o seu v6o de volta seria no final da tarde, ele poderia levar algumas pessoas importantes para almo- 
car. E acrescentou: "Incluindo vocé é claro — ha alguém que fica no seu lugar na hora do almogo?" 


Ela ficou corada com a idéia de ser incluida e respondeu: "Quem vocé quer convidar?" Ele 
abriu novamente o seu palmtop e falou o nome de algumas pessoas — dois engenheiros de P&D, 
o homem novo de vendas e marketing e o funciondrio de finangas designado para o projeto. Rick 
sugeriu que ela lhes dissesse sobre 0 seu relacionamento com a empresa e que ele gostaria de se 
apresentar a eles. Ele deu o nome do melhor restaurante da area, um lugar no qual Jessica sempre 
quis ir, e disse que reservaria a mesa ele mesmo para as 12h30 e ligaria mais tarde para ter certeza 
de que estava tudo certo. 


Quando chegaram ao restaurante — os quatro mais Jessica — a sua mesa ainda n@o estava pronta 
e eles ficaram no bar. Rick deixou claro que a conta seria paga por ele. Rick era um homem com estilo e 
classe, 0 tipo de pessoa que faz vocé se sentir desde 0 inicio como se 0 conhecesse ha anos. Sempre pa- 
recia saber a coisa certa a ser dita. tinha uma observacAo inteligente ou algo engracado para dizer sem- 
pre que a conversa parecia acabar e fazia vocé se sentir bem pelo simples fato de estar ao seu lado. 


Ele deu tantos detalhes sobre os produtos da sua propria empresa que eles podiam visualizar a 
solu¢ao conjunta de marketing sobre a qual ele parecia estar tao animado. Ele deu 0 nome de varias 
empresas da Fortune 500 para as quais a sua empresa ja estava vendendo, até que alguém da mesa 
comecou a imaginar 0 seu produto se tornando um sucesso no dia em que as primeiras unidades 
saissem da fabrica. 


Em seguida, Rick comecgou a conversar com Brian, que era um dos engenheiros. Enquanto os 
outros conversavam entre eles, Rick trocou algumas idéias em particular com Brian e lhe falou dos 
recursos exclusivos do C2Alpha e daquilo que o distinguia de tudo o que a concorréncia tinha. Ele 
ficou sabendo sobre alguns dos recursos que a empresa estava planejando e dos quais Brian tinha 
orgulho, dizendo que eles eram realmente "legais". 


Rick foi conversando em particular com cada um deles. O rapaz de marketing teve a chance de 
falar sobre a data de langamento e dos planos de marketing. E puxou um envelope do bolso e escreveu 
os detalhes dos custos de material e manufatura, 0 ponto de preco e a margem esperada, além do tipo 
de acordo que estava tentando fazer com cada um dos fornecedores, cujos nomes ele relacionou. 


Capitulo 14 A Espionagem Industrial 183 


Quando terminou a conversa, Rick havia trocado idéias com todos que estavam na mesa e havia 
ganhado admiradores. No final da refeigaéo, cada um deles cumprimentou Rick e agradeceu. Rick 
trocou cart6es com cada um deles e, ao passar por Brian, 0 engenheiro, disse que queria ter uma dis- 
cussao mais longa assim que Larry voltasse. 


No dia seguinte. Brian atendeu Rick ao telefone. Este lhe disse que havia acabado de falar com 
Larry. "Vou voltar na segunda-feira para discutir alguns detalhes com ele", acrescentou Rick, "ele 
quer que eu me acostume logo com o seu produto. Disse para vocé enviar para ele os principais deta- 
Ihes e especificagdes. Ele vai escolher algumas partes e vai mandar para mim por e-mail." 


O engenheiro disse que estava tudo bem. "Bom", respondeu Rick. Ele continuou: "Larry falou 
que esta tendo problemas para abrir suas mensagens de correio eletr6nico. Em vez de enviar as in- 
formag6es para a sua conta regular, ele criou uma conta de correio eletr6nico do Yahoo no centro de 
negocios do hotel. Ele disse para vocé enviar os arquivos para larryrobotics@ yahoo.com." 


Na manha da segunda-feira seguinte, quando Larry entrou no escrit6rio bronzeado e descansado, 
Jessica foi a primeira a falar de Rick. "Que rapaz 6timo! Ele levou varios de nos para almogar inclu- 
sive eu". Larry pareceu confuso. "Rick? Quem é Rick?" 


"Do que vocé esta falando? O seu novo parceiro de negécios!" 

"O qué!!!??2?" 

"E todos ficaram tao impressionados com as perguntas que ele fez..." 

"Eu nao conheco nenhum Rick..." 

"O que ha com vocé? Isso é uma piada, Larry? Vocé esta brincando comigo, nao é?" 


"Retina a equipe executiva na sala de reunides. Agora. Nao importa o que eles estao fazendo. E 
também todos os que foram a esse almoco, incluindo vocé." 


Eles sentaram-se ao redor da mesa com ar sombrio. Larry entrou, sentou-se e explicou: "Eu nao 
conhego ninguém chamado Rick. Nao tenho um novo parceiro de negécios que venho mantendo em 
segredo. S6 ha uma coisa 6bvia que posso achar. Se ha alguém fazendo piada entre nés, quero que 
essa pessoa fale agora" 


Nenhum som. A sala parecia escurecer a cada segundo. 


Finalmente Brian falou. "Por que vocé nao disse alguma coisa quando lhe enviei aquele e-mail 
com as especificagdes do produto e o cédigo-fonte?" 


"Qual e-mail!?" 
Brian empertigou-se. "Ah... droga!" 


Cliff, o outro engenheiro, juntou a ele. "Ele nos deu seu cartao. S6 temos de ligar para ele e ver 
O que esta acontecendo." 


Brian abriu seu palmtop, chamou uma entrada e passou o dispositivo para Larry. Ainda es- 
perando um milagre, todos observaram enquanto Larry discava. Apos um instante, ele apertou o 
botao do viva voz e todos ouviram um sinal de ocupado. Apos tentar discar para o nimero varias 
vezes em 20 minutos, Larry, frustrado, discou para a telefonista e pediu uma interrup¢ao de emer- 
géncia. 

Alguns momentos mais tarde, a telefonista voltou a linha. Ela disse: "Onde o senhor conseguiu 
esse nimero?" Larry disse que estava no cartao de um homem que ele precisava contatar com urgén- 
cia. A telefonista disse: "Sinto muito. Esse 6 um numero de teste da empresa de telefonia. Ele esta 
sempre ocupado." 
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Larry comecou a fazer uma lista das informagdes que haviam sido compartilhadas com Rick. O 
quadro nao era nada bom. 


Dois detetives da policia vieram e fizeram um relatério. Apos ouvir a histéria, disseram que 
nenhum crime estadual havia sido cometido; nao havia nada que pudessem fazer. Eles aconselharam 
Larry a entrarem contato com o FBI porque eles tém jurisdicao sobre todos os crimes que envolvem 
oO comércio entre estados. Quando Rick Daggot pediu para 0 engenheiro encaminhar os resultados dos 
testes fazendo-se passar por outra pessoa, ele pode ter cometido um crime federal, mas Larry teria de 
falar com o FBI para descobrir isso. 


Trés meses mais tarde, Larry estava em sua cozinha lendo o jornal no café da manha e quase der- 
ramou tudo. Aquilo que ele temia desde que ouviu falar pela primeira vez em Rick havia se tornado 
realidade, o seu pior pesadelo. La estava em letras grandes na primeira pagina da secao de negécios: 
uma empresa da qual ele nunca ouvira falar antes eslava anunciando o langamento de um produto 
novo que parecia ser exatamente igual ao C2Alpha que a sua empresa vinha desenvolvendo nos dois 
ultimos anos. 


Por meio da fraude, essas pessoas 0 haviam derrotado no mercado. O seu sonho estava destruido. 
Os milhdes de délares investidos em pesquisa e desenvolvimento foram jogados fora. E ele provavel- 
mente nao poderia provar nada contra eles. 


A historia de Sammy Sanford 


Bastante esperto para estar ganhando um bom salario em um emprego legitimo, mas trapaceiro o sufi- 
ciente para preferir viver de golpes, Sammy Sanford havia se saido muito bem. Certa vez ele chamou a 
atencao de um espiao que havia sido forgado a se aposentar cedo por causa de problemas com o 4lcool. 
Amargo e vingativo, o homem havia encontrado um modo de vender os talentos nos quais 0 governo 
o havia obrigado a se especializar. Sempre procurando pessoas que pudesse usar, ele havia identifi- 
cado Sammy na primeira vez em que se encontraram. Sammy achou facil e muito lucrativo mudar o 
foco de batedor de carteiras para batedor de segredos comerciais. 


A maioria das pessoas nao teria nervos para fazer o que facgo. Tente enganar pessoas pelo telefone 
ou pela Internet e ninguém jamais o vera. Mas um bom golpista, aquele dos velhos tempos do tipo 
olho no olho (e ainda ha muitos deles por ai, mais do que vocé pode imaginar), pode olhar vocé nos 
olhos, contar uma histéria c fazer com que vocé acredite nela. Conhecgo um ou dois promotores que 
acham que isso é crime. Acho que isso é um talento. 


Mas vocé nao pode fazer isso as cegas. Primeiro tem de fazer uma avaliagao. Em um golpe de 
rua, vocé pode tirar a temperatura de um homem com um pouco de conversa e algumas sugest6es bem 
articuladas. Consiga as respostas corretas e pronto! — vocé enganou um bobo. 


Um emprego em uma empresa é aquilo que chamamos de um grande golpe. Vocé tem de se pre- 
parar bem. Descubra quais sao os bot6es certos e 0 que querem. Do que precisam. Planeje um ataque. 
Seja paciente e facga a sua ligdo de casa. Descubra 0 papel que vocé vai desempenhar e decore o seu 
texto. E nao va 14 antes de estar preparado. 


Passei mais de trés semanas me preparando para este golpe. Tive uma sessdo de dois dias sobre 
aquilo que eu diria que a "minha" empresa faz e sobre como descrever 0 motivo pelo qual essa seria 
uma boa alianga de marketing. 
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Em seguida, tive sorte. Liguei para a empresa e disse que era de uma empresa de capital de risco e 
que estavamos interessados em marcar uma reuniao e estava tentando descobrir um dia em que todos 
OS NOSSOS s6cios estivessem disponiveis nos préximos meses e se havia alguma época que deveria 
evitar, algum perfodo em que Larry nfo estaria na cidade. E ela respondeu: "Sim. ele ainda nao tirou 
férias em dois anos desde que abriu a empresa, mas a sua mulher o estava arrastando de férias para 
jogar golf na primeira semana de agosto." 


Faltavam apenas duas semanas e eu podia esperar. 


Nesse meio tempo uma revista especializada me deu 0 nome da empresa de RP da companhia. 
Disse que gostei do espago que eles estavam conseguindo para o seu cliente fabricante de robdtica 
e queria falar com a pessoa que atendia aquela conta para que ela cuidasse da minha empresa. Essa 
pessoa era umajovem cheia de energia que gostava da idéia de conseguir uma conta nova. Com um 
almogo caro e um drink a mais do que ela realmente queria, ela fez 0 que pdde para me convencer de 
que eles eram muito bons para entender os problemas de um cliente e encontrar as solug6es certas 
de RR Joguei alto para convencé-la. Precisava ter alguns detalhes. Com algumas cutucadas quando 
Os pratos estavam sendo retirados, ela j4 havia me contado mais sobre 0 novo produto e os problemas 
da empresa do que jamais havia esperado. 


A coisa estava dando certo como um relégio. A histéria de estar muito embaracgado com o fato 
de que a reuniao era na pr6xima semana, mas que eu também poderia aproveitar para almocgar com a 
equipe foi engolida pela recepcionista. Ela até sentiu pena de mim. O almoco me custou ao todo US$ 
150,00, incluindo o servico. E consegui 0 que precisava. Os nimeros de telefones, os cargos e uma 
das pessoas-chave que acreditava que eu era quem dizia ser. 


Brian havia me enganado. Ele parecia 0 tipo de pessoa que apenas me mandaria por e-mail algo 
que eu pedisse. Mas parecia que ele estava escondendo alguma coisa quando falei no assunto. Vale a 
pena esperar pelo inesperado. Aquela conta de e-mail no nome de Larry eu tinha no bolso do colete 
s6 para o caso de precisar. O pessoal de seguranca do Yahoo provavelmente ainda esta esperando que 
alguém use a conta novamente para que eles possam rastrea-lo. Eles teraéo de esperar muito. A prima 
dona j4 cantou. Eja estou em outro projeto. 


Analisando a trapaca 


Todos os que realizam um golpe pessoalmente tém de usar uma aparéncia que o faga ser aceito. Ele vai 
se produzir de uma forma para aparecer em uma pista de corridas, de outra forma para aparecer em um 
parque aquatico local e de outra forma ainda para aparecer em um bar de algum hotel cinco estrelas. 


Na espionagem industrial as coisas funcionam da mesma maneira. Um ataque pode pedir terno. 
gravata e uma pasta cara se 0 espido esta se fazendo passar por um executivo de uma empresa esta- 
belecida, um consultor ou um representante de vendas. Em outra fungao, ao tentar se fazer passar por 
um engenheiro de software, um técnico ou alguém do departamento de correspondéncia, as roupas, o 
uniforme — enfim, toda a aparéncia — seria diferente. 


Para se infiltrar na empresa, o homem que se chamou de Rick Daggot sabia que tinha de projetar 
uma imagem de confianga e competéncia, a qual seria suportada por um conhecimento completo do 
produto da empresa e da industria. 


Ele nao teve muita dificuldade para se apossar das informag6es que precisava ter com antece- 
déncia. E também criou um golpe facil de aplicar quando o CEO estivesse fora. Um pequeno desafio. 
mas mesmo assim nao muito dificil, seria encontrar detalhes suficientes sobre o projeto para que ele 
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parecesse estar "por dentro" daquilo que eles estavam fazendo. Quase sempre essas informagOes sao 
conhecidas dos diversos fornecedores da empresa, bem como dos investidores, capitalistas de risco 
que eles contataram para levantar o dinheiro, seu banqueiro e a sua empresa de advocacia. O atacante 
tem de tomar cuidado, porém. Pode ser dificil encontrar alguém que entrara com o conhecimento in- 
terno, mas tentar duas ou trés fontes para encontrar alguém que possa dar as informac6es pode fazer 
com que as pessoas descubram o golpe. E ai que esta o perigo. Os Rick Daggost da vida precisam 
escolher com cuidado e trilhar o caminho de cada informagao apenas uma vez. 


O almoco foi outra proposi¢ao arriscada. Primeiro havia o problema de organizar tudo para que 
ele tivesse alguns minutos sozinho com cada pessoa, fora do alcance dos ouvidos dos outros. Ele disse 
a Jessica que 0 horario seria 12h30, mas fez a reserva da mesa para 13h00 em um restaurante caro. Ele 
esperava que eles ficariam no bar tomando uns drinques e foi isso exatamente 0 que aconteceu. Uma 
oportunidade perfeita para conversar com cada individuo. 


Mesmo assim, havia muitas chances de algo dar errado. Uma resposta errada ou uma observa¢ao 
descuidada poderiam revelar que Rick era um impostor. Apenas um espiao industrial extremamente 
confiante e ardiloso se arriscaria a expor-se dessa maneira. Mas anos de trabalho nas ruas como esse 
haviam aumentado as habilidades e a confianga de Rick para que, mesmo que cometesse um deslize, 
ele pudesse se recuperar bem o suficiente para nao levantar suspeitas. Essa era a parte mais dificil, o 
momento mais perigoso de toda a operacao e a adrenalina que sentiu ao realizar um golpe como esse 
fez com que percebesse que nao precisava dirigir carros de corrida, fazer surf aéreo ou enganar a sua 
mulher — ele j4 tinha emogao suficiente no seu trabalho. Ele se perguntava quantas pessoas poderiam 
dizer 0 mesmo? 


Recado do 


Embora a maioria dos ataques da engenharia social ocorra pelo telefone ou e-mail, vocé 
nao deve supor que um atacante audacioso nunca aparecera em pessoa na sua empre- 
sa. Na maioria dos casos, o impostor usa alguma forma de engenharia social para ter 
acesso a um prédio apos falsificar o cracha de um empregado usando um programa de 
software comum como o Photoshop. 


E os cartoes com o numero da linha de teste da empresa de telefonia? A série de televi- 
sao Arquivo Confidencial, sobre um detetive particular, ilustrava uma técnica inteligente 
e meio engracada. Rockford (interpretado pelo ator James Garner) tinha uma impressora 
portatil para cartoes em seu carro, a qual ele usava para imprimir um cartao apropria- 
do para aquilo que a ocasiao pedia. Hoje em dia, um engenheiro social pode imprimir 
cartoes em uma hora em qualquer copiadora, ou pode imprimi-los em uma impressora 
a laser. 


O que leva um grupo de homens e mulheres inteligentes a aceitarem um impostor? Dimensiona- 
mos uma situa¢ao com o instinto e com o intelecto. Se a hist6ria convence, essa é a parte do intelecto, 
e se um golpista consegue projetar uma imagem de credibilidade, estamos dispostos a baixar a guar- 
da. A imagem de credibilidade separa um golpista de sucesso ou engenheiro social de alguém que 
rapidamente esta atras das grades. 


Pergunte a si mesmo: 0 que me da certeza de que nunca cairia em uma historia como a de 
Rick? Se vocé tem certeza que nao, pergunte a si mesmo se alguém ja tentou engana-lo. Se a res- 
posta da segunda pergunta for sim. provavelmente essa também é a resposta correta para a primeira 
pergunta. 
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John Le Carré, autor do livro O Espiao que Veio do Frio, Um Espiao Perfeito e de muitos 
outros livros notaveis, cresceu como o filho de um educado golpista que viveu muito 
tempo. Quando crianca, Le Carré ficou chocado ao descobrir que, embora bem-sucedi- 
do para enganar as outras pessoas, seu pai também era crédulo e mais de uma vez foi 
vitima de outro golpista. Isso sO prova que todos correm o risco de serem enganados 
por um engenheiro social, mesmo outro engenheiro social. 


JOGO DE ENGANAGAO 


Agora temos um desafio. A proxima histéria nao envolve a espionagem industrial. Ao ler esta parte, 
veja se pode entender 0 motivo pelo qual resolvi incluir este capitulo! 


Harry Tardy voltou para casa e estava amargurado. Os Fuzileiros Navais pareciam uma Gtima fuga 
até que foi expulso do campo de combate. Agora ele voltara para a cidade natal que odiava, estava fa- 
zendo cursos de computador na escola comunitaria local e procurando um modo de atacar o mundo. 


Finalmente ele chegou a um plano. Depois de beber algumas cervejas com um colega de classe, 
ele reclamava do instrutor, que era do tipo sabe tudo e sarcastico. Juntos resolveram criar um esquema 
perverso para queimar o professor: eles pegariam o cédigo-fonte de um conhecido personal digital 
assistam (PDA) e 0 enviariam para 0 computador do instrutor e deixariam pistas para que a empresa 
pensasse que o instrutor era 0 culpado. 


O novo amigo, Karl Alexander, disse que "conhecia alguns truques" e diria a Harry como fazer 
as coisas. E eles continuaram com o plano. 


Fazendo a licao de casa 


Um pouco de pesquisa inicial mostrou a Harry que o produto linha sido criado no Centro de Desen- 
volvimento localizado na sede do fabricante do PDA fora do pais. Mas também havia uma instalacao 
de P&D nos Estados Unidos. Karl disse que isso era bom. Para que uma tentativa funcione, tem de 
haver alguma instalagdo da empresa nos EUA, a qual também precise acessar 0 cédigo-fonte. 


Nesse ponto Harry estava pronto para ligar para o Centro de Desenvolvimento no exterior. Foi 
aqui que um pedido de simpatia entrou em cena: "Ah, querida, estou com problemas e preciso de aju- 
da, por favor, me ajude." Naturalmente o pedido foi um pouco mais sutil do que isso. Karl escreveu 
um script, mas Harry parecia completamente falso tentando us4-lo. No final, ele praticou com Karl 
para que pudesse dizer aquilo que precisava em tom coloquial. 


Finalmente Harry disse (com Karl sentado ao seu lado) algo mais ou menos assim: 


"Estou ligando do P&D de Minneapolis. O nosso servidor teve um worm que infectou lodo 
o departamento. Tivemos de instalar 0 sistema operacional novamente e, em seguida, tivemos de 
restaurar o backup, mas nenhum deles serviu. Adivinha quem deveria ter verificado a integridade 
dos backups? Eu, é claro. Assim sendo, meu chefe esta gritando comigo e a geréncia esta querendo 
se matar porque perdemos os dados. Olhe, preciso ter a revisao mais recente do diret6ério do cédi- 
go-fonte o mais rapido possivel. Preciso que vocé compacte os arquivos em formato gzip e 0 envie 
para mim". 
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GZIP Classificar arquivos em um unico arquivo compactado usando o utilitario GNU 
do Linux. 


Nesse ponto Karl escreveu uma nota para Harry e este disse ao homem que estava no outro lado 
da linha que ele s6 queria que ele transferisse 0 arquivo internamente para o departamento de P&D 
de Minneapolis. Isso era muito importante: quando o homem do outro lado da linha verificou que ele 
s6 precisava enviar 0 arquivo para outra parte da empresa, a sua mente sossegou — o que poderia 
haver de errado nisso? 


Ele concordou em fazer um gzip e envia-lo. Passo a passo, com Karl do lado, Harry ensinou 
oO interlocutor a iniciar o procedimento de compactacao do enorme cédigo-fonte em um Unico 
arquivo compacto. Ele também deu um nome de arquivo a ser usado no arquivo compactado 
("newdata") e explicou que esse nome evitaria qualquer confusAo0 com os arquivos antigos e cor- 
rompidos. 


Karl teve de explicar a pr6xima etapa duas vezes antes que Harry a entendesse, mas isso foi 
crucial para o joguinho de enganac4o que Karl havia criado. Harry devia ligar para o R&D em Min- 
neapolis e dizer para alguém: "Quero enviar um arquivo para vocé e, em seguida, quero que vocé o 
envie para outro lugar para mim" — obviamente tudo isso estaria cheio de motivos que tornariam 
a coisa toda plausivel. O que confundia Harry era que ele deveria dizer: "Vou enviar um arquivo 
para vocé" quando ele nao ia enviar nada. Ele tinha de fazer 0 rapaz com quem ele estava falando 
no Centro de P&D achar que o arquivo vinha dele. quando aquele Centro realmente iria receber o 
arquivo com o cédigo-fonte proprietario da Europa. "Por que eu diria para ele que esta vindo de mim 
quando realmente esta vindo de fora do pais?" Harry queria saber. 


"O funcionario do Centro de P&D é s6 um parafuso", explicou Karl. "Ele tem de achar que 
esta apenas fazendo um favor para um colega aqui dos EUA recebendo um arquivo de vocé e, em 
seguida, encaminhando esse arquivo para vocé." 


Harry finalmente entendeu. Ele ligou para o Centro de P&D, pediu que a recepcionista ligasse 
para o Centro de Computadores e quis falar com um operador de computador. O rapaz que atendeu 
parecia tao jovem quanto o proprio Harry. Harry 0 cumprimentou, explicou que estava ligando da 
divisao de desenvolvimento de Chicago da empresa e que tinha um arquivo que estava tentando 
enviar para um dos seus colegas que estava trabalhando com ele em um projeto, mas "Tivemos um 
problema de roteador e nao podemos acessar a rede. Gostaria de transferir 0 arquivo para vocé e 
depois que vocé recebé-lo, ligo de volta para dizer como transferir esse arquivo para 0 computador 
do meu colega." 


Até aqui tudo bem. Em seguida, Harry perguntou ao jovem se o seu centro de computadores 
tinha uma conta de FTP anénimo, uma configuragao que permite que todos transfiram e recebam 
arquivos de um diretorio no qual uma senha é requerida. Sim, havia um FTP andnimo disponivel e 
ele deu a Harry o endereco interno Internet Protocol (IP) para acessa-lo. 


Com essas informagoes, Harry ligou de volta para o Centro de Desenvolvimento no exterior. O 
arquivo compactado ja estava pronto e Harry deu as instruc6es para a transferéncia do arquivo para 
o site de FTP anédnimo. Em menos de cinco minutos, 0 arquivo com o cédigo-fonte compactado foi 
enviado para o garoto do Centro de P&D. 


Capitulo 14 A Espionagem Industrial 189 


FTP ANONIMO Um programa que fornece acesso a um computador remoto mesmo 
que vocé nao tenha uma conta e que use o File Transfer protocol (FTP). Embora o FTP 
anonimo possa ser acessado sem uma senha, em geral os direitos de acesso de usuario 
a determinadas pastas sao restritos. 


Definindo a vitima 


Eles estavam a meio caminho de realizar o seu objetivo. Agora Harry e Karl tinham de esperar para 
ter certeza de que o arquivo havia chegado antes de continuar. Durante a espera, eles foram até a 
mesa do instrutor no outro lado da sala e cuidaram de duas outras etapas necessdrias. Primeiro eles 
configuraram um servidor de FTP an6dnimo, o qual serviria como destino para o arquivo na Ultima 
parte do seu esquema. 


A segunda etapa forneceu uma solu¢ao para um problema que de outra maneira seria dificil de 
resolver. E claro que eles nio podiam dizer para o homem do Centro de P&D para que enviasse o 
arquivo para um endereg¢o do tipo warren@rms.ca.edu. O dominio ".edu" seria uma rua sem saida, 
uma vez que todo operador meio atento de computadores reconheceria esse enderecgo com sendo 0 en- 
dereco de uma escola e toda a operacao estaria condenada. Para evitar isso eles entraram no Windows 
do computador do instrutor e viram o endereco IP da maquina, o qual eles dariam como o endere¢go 
para o envio do arquivo. 


Nesse ponto estava na hora de ligar de volta para 0 operador de computador do Centro de P&D. 
Harry ligou: "Acabei de transferir o arquivo do qual lhe falei. Vocé pode ver se recebeu?" Sim, ele 
havia chegado. Harry pediu para ele tentar encaminhar o arquivo e deu o enderego IP. Ele ficou ao 
telefone enquanto 0 jovem fazia a conexao e comegava a transmitir 0 arquivo e eles observaram a luz 
da unidade de disco piscando no computador do instrutor — recebendo animadamente o download. 


Harry trocou algumas observa¢6es com 0 rapaz sobre como um dia os computadores e periféricos 
seriam mais confidveis, agradeceu e disse adeus. 

Os dois copiaram 0 arquivo da maquina do instrutor para dois discos Zip, um para cada um deles. 
Isso era como roubar um quadro que vocé gosta de um museu, mas no se atrever a mostrar para Os 
seus amigos. Exceto que neste caso era mais provavel que eles tivessem feito uma duplicata da pin- 
tura original e o museu ainda tinha o seu préprio original. 

Em seguida, Karl ensinou a Harry como remover o servidor de FTP da maquina do instrutor e 
apagar o controle de auditoria para que nao houvesse evidencia daquilo que fizeram — apenas 0 ar- 
quivo roubado que foi deixado 14 para ser facilmente localizado. 

Em uma ultima etapa eles publicaram uma secao do cédigo-fonte na Usenet diretamente do compu- 


tador do instrutor. Apenas uma seco, para que nao causassem grandes danos a empresa, mas deixando 
pistas claras que levavam diretamente ao instrutor. Ele teria dificuldades em explicar tudo aquilo. 


Analisando a trapaca 


Embora varios elementos tenham sido combinados para que esse golpe funcionasse, ele nao teria 
tido sucesso sem alguma simpatia e habilidade em pedir ajuda: "Meu chefe esta gritando comigo e o 
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gerenciamento esta querendo se matar". Isso. combinado a uma explicagao exata de como 0 homem 
do outro lado da linha poderia ajudar a resolver 0 problema, resultou em um golpe poderoso e con- 
vincente. Essa combinacao funcionou aqui e muitas outras vezes. 


O segundo elemento crucial foi que o homem que entendia o valor do arquivo tinha de envia-lo 
para um endereco dentro da empresa. 


E a terceira peca do quebra-cabega: 0 operador do computador podia ver que 0 arquivo havia sido 
transferido para ele de dentro da empresa. Isso s6 podia significar — ou pelo menos assim parecia 
— que 0 homem que o enviou podia té-lo enviado para o destino final, nado fosse a conexéo de rede 
externa que nao estava funcionando. Que mal faria ao ajudar o homem, enviando o arquivo para ele? 


Mas e quanto a dar um nome diferente para o arquivo compactado? Isso parecia um detalhe, mas 
ele era importante. O atacante nao podia se dar ao luxo de arriscar receber 0 arquivo com um nome 
que o identificasse como o cédigo-fonte, ou com nome relacionado com o produto. Uma solicita¢gao 
para enviar um arquivo com um nome como aquele para fora da empresa podia ter feito soar os alar- 
mes. Era crucial fazer com que 0 arquivo fosse rotulado com um nome inofensivo. Como os atacantes 
previram, 0 segundo jovem nfo viu problemas em enviar 0 arquivo para fora da empresa. Um arquivo 
com um nome como "dados novos", sem dar nenhuma pista sobre a verdadeira natureza das informa- 
¢des, dificilmente levantaria suspeitas. 


Por fim, vocé descobriu o que esta historia esta fazendo em um capitulo dedicado a espionagem 
industrial? Se nao descobriu, aqui esta a resposta. Aquilo que os dois alunos fizeram para pregar uma 
peca poderia ter sido feito facilmente por um espiao industrial profissional, talvez pago por um con- 
corrente ou por um governo estrangeiro. De qualquer forma, o dano poderia ter sido devastador para 
a empresa, diminuindo seriamente as vendas do seu novo produto quando o produto do concorrente 
chegasse ao mercado. 


Recado do 


A regra basica que todo empregado deve ter clara em sua cabeca é que, exceto com a 
aprovacao do gerenciamento, vocé nao deve transferir arquivos para pessoas que nao 
conhece pessoalmente, mesmo que o destino pareca estar dentro da rede interna da 
sua empresa. 


Com que facilidade 0 mesmo tipo de ataque poderia ter sido executado na sua empresa? 


EVITANDO A TRAPACA 


Agora que a Guerra Fria terminou, a espionagem industrial, que ha muito tem sido um desafio para 
as empresas, agora se tornou o prato principal dos espides que concentram seus esforcos na obtencgao 
de segredos comerciais cobrando um bom preco. Os governos estrangeiros e as corporagées estao 
usando espides industriais freelance para roubar as informagdes. As empresas domésticas também 
contratam corretores de informag6es que cruzam a linha entre o legal e o ilegal em seus esforcos para 
obter a inteligéncia da concorréncia. Em muitos casos esses espides sao ex-militares que se transfor- 
maram em corretores de informag6es industriais e que tém o pré-requisito do conhecimento e da ex- 
periéncia para explorar facilmente as organizac6es, em particular aquelas que nao tomam precaucées 
para proteger suas informa¢oes e educar o seu pessoal. 
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A seguranca externa 


O que poderia ter ajudado a empresa com problemas nas suas instalagdes externas de armazenamen- 
lo? O perigo aqui teria sido evitado se a empresa tivesse criptografado seus dados. Sim, a criptografia 
exige tempo e despesas extras, mas 0 esforgo € recompensado. Os arquivos criptografados precisam 
ser verificados regularmente para que se tenha a certeza de que a criptografia/decriptografia esta 
funcionando bem. 


Sempre ha o perigo de que as chaves de criptografia se percam ou de que a Unica pessoa que 
conhece as chaves seja atingida por um 6nibus. Mas o nivel de aborrecimento pode ser minimizado, 
e todos aqueles que armazenam as informacoes confidenciais externamente em uma empresa comer- 
cial e nao usam a criptografia sio, me desculpem o termo, uns idiotas. Isso 6 como caminhar em uma 
vizinhanga perigosa com uma nota de US$ 20,00 saindo do bolso e pedindo para ser roubada. 


Deixar midia de backup em um lugar onde alguém pode entrar e tira-la é uma falha de seguran¢ga 
comum. Ha varios anos, trabalhava em uma empresa que poderia ter se esforgado mais para proteger 
as informacoes dos clientes. A equipe da operacao deixava as fitas de backup da empresa fora da porta 
da sala trancada dos computadores para que um mensageiro as pegasse no outro dia. Todos poderiam 
saircom as fitas de backup, as quais continham todos os documentos de processador de texto da em- 
presa em texto nao criptografado. Se os dados de backup estao criptografados, a perda do material é 
um aborrecimento; se eles nao estao criptografados — bem. vocé pode imaginar 0 impacto sobre a 
sua empresa melhor do que eu. 


A necessidade que as empresas maiores tém de armazenamento externo confiavel é vital. Mas 
Os procedimentos de seguranga da sua empresa precisam incluir uma investigagaéo na empresa de 
armazenamento para saber se eles estaéo conscientes das suas proprias politicas e procedimentos 
de segurang¢a. Se eles nao forem tao dedicados quanto a sua prépria empresa, todos os seus esforgos de 
seguranca podem ir por 4gua abaixo. 


As empresas menores tém uma boa alternativa para o backup. Elas podem enviar os arquivos 
novos e alterados a cada noite para uma das empresas que oferecem 0 armazenamento on-line. Aqui 
também é essencial que os dados sejam criptografados. Caso contrario, as informacoes estarao dis- 
poniveis nao apenas para um empregado desleixado da empresa de armazenamento, mas também 
para todo invasor de computador que invada os sistemas de computadores ou a rede da empresa de 
armazenamento on-line. 


Obviamente, ao configurar um sistema de criptografia para proteger a segurancga dos seus arquivos 
de backup, que vocé também deve configurar um procedimento altamente seguro para armazenar as 
chaves de criptografia e as frases de password que as desbloqueiam. As chaves secretas usadas para 
criptografar os dados devem ser armazenadas em um cofre ou caixa forte. A pratica-padrao da empresa 
precisa prever a possibilidade de 0 empregado que lida com esses dados sair repentinamente, morrer ou 
assumir outro cargo. Sempre deve haver pelo menos duas pessoas que conhecem o local de armazena- 
mento e os procedimentos de criptografia/decriptografia, bem como a politicas que determinam como e 
quando as chaves devem ser alteradas. As politicas também devem exigir que as chaves de criptografia 
sejam alteradas imediatamente quando um empregado que tinha acesso a elas for embora. 


Quem é ele? 


O exemplo de um artista da trapaca deste capitulo que usa seu charme para fazer com que os em- 
pregados revelem informacg6es reforga a importancia da verificagao da identidade. A solicitagao de 
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encaminhamento do cédigo-fonte para um site FTP também destaca a importancia de conhecer a 
pessoa que faz a solicitacao. 

No Capitulo 16 vocé encontra as politicas especificas para a verificagao da identidade de um 
estranho que faz uma solicitagao de informagées ou pede que alguma acAo seja executada. Ja falamos 
da necessidade da verificagaéo em todo este livro. No Capitulo 16 vocé tera os detalhes de como isso 
deve ser feito. 


eee OG Geee: 


Eliminando 
as Barreliras 


Conscientizacao e Treinamento 
em Seguranca da Informacao 


m engenheiro social recebeu a atribuicdo de obter os planos do seu novo produto que deve ser 
langcado em dois meses. O que vai impedi-lo? 


O seu firewall? Nao. 

Dispositivos avancados de autenticagao? Nao. 

Sistemas detectores de invasao? Nao. 

Criptografia? Nao. 

Acesso limitado aos nimeros de telefone de discagem por modems? Nao. 

Nomes de cdédigo nos servidores para dificultar que um estranho determine qual servidor pode 
conter os planos do produto? Nao. 


A verdade é que nao existe uma tecnologia no mundo que evite o ataque de um engenheiro 
social. 


A SEGURANCA POR MEIO DA TECNOLOGIA, 
DO TREINAMENTO E DOS PROCEDIMENTOS 


As empresas que realizam testes de penetracao de seguranc¢a relatam que suas tentativas de invadir 
Os sistemas de computadores de uma empresa cliente com métodos da engenharia social tém um 
indice de sucesso de quase 100 por cento. As tecnologias de seguranga podem dificultar esses tipos 
de ataques retirando as pessoas do processo de tomada de decisao. Entretanto, 0 Gnico meio verdadei- 
ramente efetivo de amenizar a ameaga da engenharia social e usar a conscientiza¢ao para a seguranc¢a 
combinada a politicas de seguran¢a que definem as principais regras para 0 comportamento do em- 
pregado, junto com sua educacéo e treinamento. 


S6 existe uma maneira de manter seguros os seus planos de produto: ter uma forca de trabalho 
treinada e consciente. Isso envolve o treinamento nas politicas e procedimentos, mas também — e 
provavelmente mais importante — um programa constante de conscientizacgao. Algumas autoridades 
recomendam que 40% do orcgamento geral para seguranca da empresa seja aplicado no treinamento 
da conscientizacao. 

A primeira etapa é fazer com que todos os que trabalham na empresa tenham consciéncia de que 


existem pessoas inescrupulosas que usarao a fraude para manipula-las psicologicamente. Os empre- 
gados devem ser educados sobre as informag6es que precisam ser protegidas e sobre como protege- 
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las. Depois que as pessoas entendem melhor como podem ser manipuladas, elas estao em melhor 
posicao de reconhecer um ataque que esta para ser realizado. 


A consciéncia da seguranca também significa educar a todos sobre as politicas e os procedimen- 
tos de seguranca da empresa. Como discutiremos no Capitulo 16, as politicas sao regras necessarias 
para orientar 0 comportamento do empregado para que ele proteja os sistemas corporativos de infor- 
macoes e as informagées confidenciais. 


Este capitulo e o préximo fornecem um mapa de seguran¢a que pode salva-lo de ataques caros. 
Se vocé nao tiver empregados treinados e alertas seguindo bons procedimentos, a questao nao é se, 
mas sim guando vocé perdera informag6es valiosas para um engenheiro social. Nao espere que um 
ataque aconteca para depois instituir essas politicas. Isso seria devastador para 0 bem-estar da sua 
empresa e dos seus empregados. 


ENTENDENDO COMO OS ATACANTES APROVEITAM-SE 
DA NATUREZA HUMANA 


Para desenvolver um programa de treinamento bem-sucedido, antes de tudo vocé deve entender o 
motivo pelo qual as pessoas sao vulneraveis aos ataques. Ao identificar essas tendéncias no seu trei- 
namento — por exemplo, chamando a atencao para eles nas discussdes dramatizadas — vocé pode 
ajudar seus empregados a entender 0 motivo pelo qual todos nds podemos ser manipulados pelos 
engenheiros sociais. 


A manipulacao tem sido estudada pelos cientistas ha pelo menos 50 anos. Robert B. Cialdini, 
ao escrever para a revista Scientific American (edicgao de fevereiro de 2001), resumiu a sua pesquisa 
apresentando "seis tendéncias basicas da natureza humana", as quais estao envolvidas em uma tenta- 
tiva de obter o consentimento para uma solicitacao. 


Essas seis tendéncias sao usadas pelos engenheiros sociais (algumas conscientemente e, com 
mais freqiiéncia, outras inconscientemente) em suas tentativas de manipulacao. 


Autoridade 


As pessoas tém a tendéncia de atender a uma solicitagao que é feita por uma pessoa com autoridade. 
Como ja discutimos em outra parte deste livro, uma pessoa pode ser convencida a atender a uma 
solicitagao se ela acreditar que o solicitante € uma pessoa com autoridade ou que esta autorizada a 
fazer tal solicitagao. 


Em seu livro Influence, o Dr. Cialdini escreve um estudo sobre trés hospitais do meio-oeste nos 
quais 22 estagdes separadas de enfermagem foram contatadas por um interlocutor que dizia ser um 
médico do hospital e receberam instrugdes para administrar uma droga controlada para um paciente 
daquela ala. As enfermeiras que receberam essas instrugdes nao conheciam o interlocutor. Elas nem 
mesmo sabiam se ele era realmente um médico (e ele nao era). Elas receberam as instrucées pelo te- 
lefone, o que violava a politica do hospital. O "médico" disse para elas administrarem uma droga cujo 
uso nao era autorizado naquela ala, e a dosagem que ele disse para elas administrarem era o dobro da 
dosagem didria maxima e, assim, poderia ter colocado a vida do paciente em risco. Mesmo assim, em 
95% dos casos, como relatou Cialdini, "a enfermeira obteve a dosagem necessaria na sala de remé- 
dios da ala e estava indo administra-la ao paciente" antes de ser interceptada por um observador que 
Ihe contou sobre a experiéncia. 
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Exemplos de ataques: um engenheiro social tenta impor autoridade alegando ser do departa- 
mento de TI ou dizendo ser um executivo ou uma pessoa que trabalha para um executivo da 
empresa. 


Afabilidade 


As pessoas tém a tendéncia de atender uma pessoa que faz uma solicitagao quando ela conseguiu se 
fazer passar por alguém agradavel ou com interesses, crengas e atitudes semelhantes aos da vitima. 


Exemplos de ataques: por meio da conversa¢ao, 0 atacante consegue descobrir um hobby ou in- 
teresse da vitima e diz ser interessado ou entusiasmado pelo mesmo hobby ou interesse. Ou 
entao alega ser do mesmo estado ou escola ou ter objetivos semelhantes. O engenheiro social 
também tentara imitar os comportamentos do seu alvo para criar a aparéncia de semelhanga. 


Reciprocidade 


Podemos atender automaticamente a uma solicitagao quando recebemos ou temos a promessa de 
receber algo de valor. O presente pode ser um item material, um conselho ou ajuda. Quando alguém 
fez algo para vocé, vocé sente uma inclinagéo a retribuir. Essa forte tendéncia de retribuir existe nas 
situagdes em que a pessoa que recebe o presente nao pediu por ele. Uma das maneiras mais eficazes 
de influenciar as pessoas para nos fazer um "favor" (atender a uma solicitagao) é dar algum presente 
ou auxilio que se constitui em uma obrigacéo implicita. 


Os membros do culto religioso Hare Krishna conseguiam ser muito eficazes ao influenciar as 
pessoas a fazerem doagoes para a sua causa dando primeiro um livro ou uma flor de presente. Se o 
destinatario tentasse devolver o livro, eles recusavam e observavam: "Este é€ 0 nosso presente para 
vocé." Esse principio comportamental de reciprocidade era usado pelos Krishnas para aumentar de 
forma substancial as doac6ées. 


Exemplo de ataque: um empregado recebe uma ligacao de uma pessoa que se identifica como 
sendo do departamento de TI. O interlocutor explica que alguns computadores da empresa 
foram infectados por um virus novo que nao é reconhecido pelo software antivirus e que pode 
destruir todos os arquivos de um computador. Ele se oferece para instruir a pessoa a tomar 
algumas medidas para evitar problemas. Depois disso, o interlocutor pede que a pessoa teste 
um utilitario de software que acabou de ser atualizado recentemente, o qual permite que os 
usuarios mudem as senhas. O empregado reluta em recusar, porque o interlocutor acabou de 
prestar ajuda que supostamente o protege contra um virus. Ele retribui, atendendo 4a solicitacgao 
do interlocutor. 


Consisténcia 


As pessoas tém a tendéncia de atender apoés fazer um comprometimento publico ou adotar uma causa. 
Depois que prometemos, faremos qualquer coisa, nado queremos parecer pouco confidveis ou indese- 
javeis e tendemos a seguir as instrugdes para sermos coerentes com nossa declaragao ou promessa. 


Exemplo de ataque: o atacante entra em contato com uma funcionaria relativamente nova e a 
aconselha sobre 0 acordo para seguir determinadas politicas e procedimentos de seguranca 
como uma condi¢ao para usar os sistemas de informacgdes da empresa. Apos discutir algumas 
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praticas de segurang¢a, o interlocutor pede a usuaria para fornecer a sua senha "para verificar se 
ela entendeu" a politica sobre selecionar uma senha dificil de adivinhar. Depois que a usudria 
revela a sua senha, o interlocutor faz uma recomendacaéo para que ela crie senhas para que 
0 atacante possa adivinha-las. A vitima atende por causa do seu acordo anterior de seguir as 
politicas de seguranc¢a e porque sup6e que o interlocutor esta apenas verificando o seu enten- 
dimento. 


Validacao social 


As pessoas tendem a cooperar quando isso parece estar de acordo com aquilo que as outras pessoas 
estao fazendo. A acao dos outros é aceita como uma validacgao de que 0 comportamento em questao 
esta correto e apropriado. 


Exemplo de ataque: o interlocutor diz que esta realizando uma pesquisa e da 0 nome das outras 
pessoas do departamento que diz ja terem cooperado com ele. A vitima, acreditando que a 
cooperacao dos outros valida a autenticidade da solicitagao, concorda em tomar parte. Em 
seguida, o interlocutor faz uma série de perguntas, entre as quais estéo perguntas que levam a 
vitima a revelar o seu nome de usuario e senha. 


Escassez 


As pessoas tém a tendéncia de cooperar quando acreditam que o objeto procurado esta em falta e que 
outras pessoas estao competindo por ele, ou que ele s6 esta disponivel por um periodo de tempo curto. 


Exemplo de ataque: o atacante envia e-mails dizendo que as primeiras 500 pessoas que se re- 
gistrarem no novo site Web da empresa ganhar4o ingressos gratis para a premiere de um filme 
a que todos querem assistir. Quando um empregado desavisado se registra no site, ele tem de 
fornecer 0 enderego de e-mail da sua empresa e selecionar uma senha. Muitas pessoas, moti- 
vadas pela conveniéncia, tém a tendéncia de usar a mesma senha ou uma senha semelhante em 
todo sistema de computador que usam. Aproveitando-se disso, 0 atacante tenta comprometer o 
trabalho do alvo e os sistemas de computadores domésticos com 0 nome de usuario e a senha 
que foram inseridos durante o processo de registro no site Web. 


CRIANDO PROGRAMAS DE TREINAMENTO 
E DE CONSCIENTIZACAO 


O seu risco nao diminui com o simples fato de vocé criar um panfleto sobre a politica de seguranga 
ou enviar seus empregados para uma pagina da intranet que detalha as politicas de seguranga. As 
empresas devem nao apenas definir por escrito as regras das politicas, mas também devem se esforcar 
ao maximo para orientar todos os que trabalham com as informag6es corporativas ou com os sistemas 
de computadores para que eles aprendam e sigam as regras. Além disso, vocé deve garantir que todos 
entendam o motivo de cada politica, para que as pessoas nao tentem se desviar da regra por quest6es 
de conveniéncia. Caso contrario, a ignorancia sempre sera a melhor desculpa do empregado, e é exa- 
tamente essa vulnerabilidade que os engenheiros sociais vao explorar. 


O objetivo central de um programa de conscientizagao sobre seguranga é influenciar as pes- 
soas para que elas mudem seu comportamento e suas atitudes motivando cada empregado a querer 
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entrar no programa e fazer a sua parte para proteger os ativos de informacoes da organizacgao. Um 
6timo motivador nesse caso é explicar como a participacao das pessoas beneficiara nao apenas a 
empresa, mas também os empregados individuais. Como a empresa detém determinadas informa- 
¢des particulares sobre cada funcionario, quando os empregados fazem a sua parte para proteger 
as informac6es ou os sistemas de informagoes, na verdade eles estao protegendo também as suas 
proprias informacoes. 


Um programa de treinamento em seguran¢ga requer um suporte substancial. O esforco de trei- 
namento precisa atingir cada pessoa que tem acesso a informac6es confidenciais ou aos sistemas 
corporativos de computadores, deve ser continuo e ser sempre revisado para atualizar o pessoal 
sobre as novas ameagas e vulnerabilidades. Os empregados devem ver que a direcdo esta totalmente 
comprometida com o programa. Esse comprometimento deve ser real, e ndo apenas um memorando 
com um carimbo que diz "N6és dizemos amém". E 0 programa deve ser fundamentado por recursos 
suficientes para desenvolver, comunicar, testar e medir 0 sucesso. 


Objetivos 


A orientagao basica que deve ser lembrada durante o desenvolvimento de um programa de treina- 
mento e conscientizagao em seguranc¢a é que oO programa precisa se concentrar em criar em todos os 
empregados a consciéncia de que a sua empresa pode ser atacada a qualquer momento. Eles devem 
aprender que cadaempregado tem um papel nadefesa contra qualquer tentativa de entrar nos sistemas 
de computadores ou de roubar dados confidenciais. 


Como muitos aspectos da segurancga das informagdes envolvem a tecnologia, é muito facil para 
os empregados acharem que o problema esta sendo tratado por firewalls e por outras tecnologias de 
seguranca. Um dos objetivos principais do treinamento deve ser a criagao em cada empregado da cons- 
ciéncia de que eles sao a linha de frente necessdria para proteger a seguranca geral da organizacao. 


O treinamento em segurang¢a deve ter um objetivo significativamente maior do que simplesmente 
impor regras. O criador do programa de treinamento deve reconhecer a forte tentacgao dos emprega- 
dos sob pressao de fazer seus trabalhos e de ignorar suas responsabilidades de seguran¢a. O conheci- 
mento das taticas da engenharia social e de como se defender dos ataques é importante, mas nao 
servira para nada se 0 treinamento nao se concentrar bastante na motivacdo dos empregados para que 
usem o conhecimento. 


A empresa pode considerar que 0 programa esta atingindo o seu objetivo final se todos os que rea- 
lizarem o treinamento estiverem convencidos e motivados por uma nogao basica: a nocao de que a 
seguranca das informagoes faz parte do seu trabalho. 


Os empregados devem refletir e aceitar que a ameaca dos ataques da engenharia social é real e 
que uma perda de informag6ées confidenciais da empresa pode ameacar a empresa e também as suas 
informag6es pessoais e os seus empregos. De certa forma, nao cuidar da seguranga das informacoes 
no trabalho €é o mesmo que nao cuidar do cartéo de banco ou do numero do cartao de crédito de al- 
guém. Essa pode ser uma analogia convincente para criar 0 entusiasmo pelas praticas de seguranga. 


Estabelecendo o programa de treinamento e conscientizacao 


A pessoa responsavel pela criacgao do programa de seguranga das informag¢oes precisa reconhecer que 
esse nao é um projeto de "tamanho unico". Pelo contrario, 0 treinamento precisa ser desenvolvido 
para se adequar aos requisitos especificos de diversos grupos dentro da empresa. Embora muitas das 
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politicas de segurancga destacadas no Capitulo 16 apliquem-se a todos os empregados da empresa, 
muitas outras sao exclusivas. No minimo, a maioria das empresas precisara de programas de treina- 
mento adaptados a esses grupos distintos: os gerentes, 0 pessoal de TI, os usuarios de computadores, 
O pessoal das areas nao técnicas, os assistentes administrativos, os recepcionistas e 0 pessoal de segu- 
ranc¢a. (Consulte a divisao das politicas por fungao no Capitulo 16.) 


Como o pessoal da segurangca de uma empresa normalmente nao deve ser proficiente em com- 
putadores, e, exceto talvez de uma forma muito limitada nao entre em contato com os computadores 
da empresa, eles geralmente nao sao considerados quando da criagao de treinamentos desse tipo. 
Entretanto, os engenheiros sociais podem enganar os guardas de seguran¢a ou outros para que eles 
Ihes permitam a entrada em um prédio ou escritério, ou para que executem uma acdo que resulte em 
uma invasaéo de computador. Embora os membros da seguranga certamente nao precisem do mesmo 
treinamento completo pelo qual passam as pessoas que operam ou usam os computadores, eles nao 
devem ser esquecidos no programa de conscientizacao sobre a seguranga. 


Dentro do mundo corporativo talvez haja poucos assuntos sobre os quais todos os empregados 
precisam ser treinados e que sAo ao mesmo tempo tao importantes e tao aborrecidos quanto a segu- 
ranca. Os melhores programas de treinamento sobre a seguranga das informagdes devem informar e 
prender a atencao e 0 entusiasmo dos aprendizes. 


O objetivo deve transformar a conscientiza¢4o e o treinamento em seguran¢a das informa¢gdes em 
uma experiéncia interessante e interativa. As técnicas podem incluir a demonstra¢gao dos métodos da 
engenharia social por meio da dramatizacgao, 0 exame de relatérios da midia sobre ataques recentes 
em outras empresas com menos sorte e a discussao das maneiras pelas quais as empresas poderiam 
ter evitado o prejuizo. Elas também podem mostrar um video sobre seguran¢a que seja divertido e 
educacional ao mesmo tempo. Existem diversas empresas de conscientizacao sobre a seguran¢a que 
comercializam videos e materiais relacionados. 


As historias deste livro fornecem um material rico para explicar os métodos e as taticas da engenha- 
ria social e tém o objetivo de aumentar a consciéncia sobre a ameaga e de demonstrar as vulnerabilida- 
des do comportamento humano. Pense em usar os cenarios aqui descritos como a base para as atividades 
de dramatizacao. As histérias também oferecem oportunidades para discuss6es animadas sobre como as 
vitimas poderiam ter respondido de forma diferente para evitar que os ataques fossem bem-sucedidos. 


Um desenvolvedor habilidoso de cursos e treinadores habilidosos encontrarao muitos desafios, 
mas também muitas oportunidades para manter a classe interessada e. ao mesmo tempo, para motivar 
as pessoas a tomarem parte na solucao. 


A estrutura do treinamento 


Um programa basico de treinamento na conscientizagao sobre seguranga deve ser desenvolvido de 
modo que todos os empregados tenham de participar Os empregados novos devem participar dele 


Para aquelas empresas que nao tém recursos para desenvolver um programa interno, 
existem diversas empresas que oferecem servicos de treinamento em conscientizacgao 
sobre a seguranga. As feiras, tais como a Secure World Expo (www.secureworldexpo. 
com), sao pontos onde essas empresas podem ser encontradas. 
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como parte de seu treinamento inicial. Recomendo que nenhum empregado receba acesso a um 
computador antes de ter participado de uma sess4o bAsica de conscientizacao sobre a seguranga. 


Para essa etapa inicial, sugiro uma sessao que seja voltada para prender a atencao e que seja 
curta o suficiente para que aS mensagens importantes sejam lembradas. Embora a quantidade do 
material abordado justifique um treinamento mais longo, a importancia de fornecer a conscientiza- 
¢ao e a motivacado juntamente com um ntimero razoavel de mensagens essenciais, a meu ver, é mais 
eficiente do que longas sessOes de meio dia ou dia inteiro que deixam as pessoas tontas com tantas 
informacées. 


A énfase dessas sessOes deve estar na veiculagdo de uma apreciacgao sobre 0 mal que pode ser 
feito 4a empresa e aos empregados, a menos que todos tenham bons habitos de seguranga no trabalho. 
Mais importante do que aprender sobre as praticas especificas de seguran¢a é a motivacao que leva os 
empregados a aceitarem a responsabilidade pessoal pela seguranga. 


Em situag6es nas quais alguns empregados nao podem participar das sessOes em classe, a em- 
presa deve pensar em desenvolver 0 treinamento em conscientizacgao usando outras formas de ins- 
trucao, tais como videos, treinamento baseado em computador, cursos on-line ou material escrito. 


Ap6os a sessao de treinamento inicial, sessOes mais longas devem ser criadas para educar os em- 
pregados sobre as vulnerabilidades especificas e técnicas de ataque relativas 4 sua posicao na empre- 
sa. Pelo menos uma vez por ano é preciso fazer um treinamento de renovacao. A natureza da ameaca 
e os métodos usados para explorar as pessoas estao sempre mudando, de modo que o conteudo do 
programa deve ser mantido atualizado. Além disso, a consciéncia e o preparo das pessoas diminui 
com o tempo, de modo que o treinamento deve se repetir a intervalos razodveis de tempo para reforcar 
Os principios da segurangca. Novamente a énfase precisa estar em manter os empregados convencidos 
sobre a importancia das politicas de seguranga e motivados para que as sigam, além de expor as amea- 
cas especificas e os métodos da engenharia social. 


Os gerentes devem dar um tempo razodavel a seus subordinados para que eles se familiarizem 
com as politicas e os procedimentos de seguran¢a e para que participem do programa de conscienti- 
zacao sobre a seguranca. Nao se deve esperar que os empregados estudem as politicas de seguranga 
nem participem das aulas no seu tempo vago. Os empregados novos devem ter um tempo maior para 
examinar as politicas de seguran¢a e as praticas estabelecidas antes de iniciar as responsabilidades 
da sua funcao. 


Os empregados que mudarem de posicaéo dentro da organizacao para uma fun¢do que envolva o 
acesso a informagoes confidenciais ou sistemas de computadores devem, obviamente, fazer um pro- 
grama de treinamento em seguran¢a adaptado as suas novas responsabilidades. Por exemplo, quando 
um operador de computador torna-se um administrador de sistema ou quando uma recepcionista 
torna-se uma assistente administrativa, ambos devem passar por um novo treinamento. 


Conteudo do treinamento 


Quando reduzidos as suas caracteristicas fundamentais, todos os ataques da engenharia social tém 
O mesmo elemento comum: a fraude. A vitima é levada a acreditar que 0 atacante é um colega ou 
alguma outra pessoa que esta autorizada a acessar informagoes confidenciais ou que esta autorizada 
a dar a vitima instrugdes que envolvam a tomada de agdes com um computador ou com equipamento 
relacionado com o computador. Quase todos esses ataques poderiam ser evitados se 0 empregado- 
alvo seguisse estas etapas: 


Verificar a identidade da pessoa que faz a solicitagao: essa pessoa é realmente quem diz ser? 
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Como a conscientizacao e o treinamento para a seguranca e o treinamento nunca sao 
perfeitos, sempre que possivel use tecnologias de seguranca para aumentar seu siste- 
ma de defesa. Isso significa que a medida de seguranga é fornecida pela tecnologia e 
nao pelos empregados individuais, por exemplo, quando o sistema operacional esta 
configurado para evitar que os empregados fagcam o download de software da Internet 
ou selecionem uma senha curta e facil de adivinhar. 


e Verificar se a pessoa esta autorizada. A pessoa tem a necessidade de saber ou tem autorizacao 
para fazer a solicitagao? 


Se as sessdes de treinamento de conscientizagaéo puderem mudar 0 comportamento das pessoas 
para que cada empregado sempre teste toda solicitagao que contraria esses critérios, 0 risco associado 
aos ataques da engenharia social reduzir-se-4 de modo impressionante. 


Um programa pratico de treinamento e conscientizagao sobre a segurancga das informagdes que 
aborda os aspectos do comportamento humano e da engenharia social deve incluir: 


e Uma descri¢aéo do modo como os atacantes usam as habilidades da engenharia social para 
enganar as pessoas. 


¢ Os métodos usados pelos engenheiros sociais para atingir seus objetivos. 

¢ Como reconhecer um provavel ataque da engenharia social. 

¢ O procedimento para o tratamento de uma solicitagao suspeita. 

e A quem relatar as tentativas da engenharia social ou os ataques bem-sucedidos. 


e A importancia de questionar todos os que fazem uma solicitagao suspeita, independentemente 
da posicao ou importancia que a pessoa alega ter. 


e O fato de que os funcionarios nao devem confiar implicitamente nas outras pessoas sem uma 
verificagao adequada, embora o seu impulso seja dar aos outros o beneficio da dtvida. 


e A importancia de verificar a identidade e a autoridade de qualquer pessoa que faga uma soli- 
citagao de informagoes ou acao. (Consulte "Procedimentos de verificacgéo e autorizagao" no 
Capitulo 16 para obter detalhes sobre como verificar a identidade.) 


¢ Procedimentos para proteger as informagoes confidenciais, entre eles a familiaridade com 
todo o sistema de classificagao de dados. 

e A localizacao das politicas e dos procedimentos de seguranca da empresa e a sua importancia 
para a protecdo das informacoes e dos sistemas de informagoes corporativas. 

e Um resumo das principais politicas de seguranga e uma explica¢ao do seu significado. Por 
exemplo, cada empregado deve ser instruido sobre como criar uma senha dificil de adivinhar. 


e A obrigacao de cada empregado de atender as politicas e as conseqiiéncias do seu nao-atendi- 
mento. 


Por defini¢ao, a engenharia social envolve algum tipo de interagaéo humana. Com freqiiéncia, um 
atacante usa varios métodos de comunica¢éo e tecnologias para tentar atingir 0 seu objetivo. Por esse 
motivo, um programa de conscientizagao bem feito deve tentar abordar alguns ou todos estes itens: 
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e As politicas de seguranga relacionadas com senhas de computador e voice mail. 
¢ O procedimento de divulgacao de informac6es ou material confidencial. 


e A politica de uso do correio eletr6nico, incluindo as medidas para evitar ataques maliciosos 
de cddigo, tais com virus, worms e Cavalos de Troia. 


e Os requisitos de seguran¢a fisica, tais como 0 uso de crachas. 
e Aresponsabilidade de questionar as pessoas que estao nas instalagdes sem o cracha. 
e As melhores praticas de segurancga para 0 uso do voice mail. 


¢ Como determinar a classificagéo das informagdes e as medidas adequadas para proteger as 
informagoes confidenciais. 


e Aelimina¢gao adequada de documentos confidenciais e midia de computador que contenham, 
ou que ja tenham contido, material confidencial. 


Da mesma forma, se a empresa pretende usar testes para determinar a eficiéncia das defesas 
contra os ataques da engenharia social, um aviso deve ser dado para que os empregados tomem co- 
nhecimento dessa pratica. Deixe que saibam que em algum momento eles podem receber uma liga¢ao 
telef6nica ou outra comunica¢ao que usara as técnicas do atacante como parte de tal teste. Use os 
resultados desses testes nao para punir, mas para definir a necessidade de treinamento adicional em 
algumas 4reas. 


Os detalhes relativos a todos os itens acima podem ser encontrados no Capitulo 16. 


TESTE 


A sua empresa pode testar 0 dominio que os empregados tém das informag6es apresentadas no trei- 
namento de conscientiza¢ao de seguranca antes de permitir 0 acesso ao sistema de computadores. Se 
os testes forem aplicados on-line, vocé pode usar muitos programas de projeto de avaliacao que per- 
mitem analisar facilmente os resultados dos testes para determinar as dreas do treinamento que preci- 
sam ser fortalecidas. 


A sua empresa também pode fornecer um certificado de conclusao do treinamento de seguranga 
como recompensa e motiva¢ao para o empregado. 


Como rotina para a conclusao do programa, recomendamos que cada empregado assine um 
comprometimento de seguir as politicas e os principios de seguran¢a que foram ministrados pelo 
programa. As pesquisas sugerem que uma pessoa que se compromete a assinar tal contrato tem mais 
chances de se esforgar para cumprir os procedimentos. 


conscientizacao constante 


A maioria das pessoas sabe que 0 aprendizado, mesmo das quest6es importantes, tende a desaparecer, 
a menos que seja reforgado periodicamente. Devido 4 importancia de manter os empregados atuali- 
zados sobre 0 assunto da defesa contra os ataques da engenharia social, um programa constante de 
conscientizacao é de importancia vital. 


Um método para manter a seguran¢a sempre na mente do empregado é fazer com que a seguranga 
das informag6es seja parte especifica da fun¢ao de todas as pessoas que trabalham na empresa. Isso 
as encoraja a reconhecer o seu papel crucial na seguranca geral da empresa. Caso contrario, ha uma 
forte tendéncia de achar que a seguranga "nao é problema meu". 
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Embora a responsabilidade geral por um programa de segurancga das informacdes normalmente 
seja de uma pessoa do departamento de seguran¢a ou do departamento de tecnologia da informag¢aéo, o 
desenvolvimento de um programa de conscientiza¢ao para a seguran¢a das informagoes provavelmen- 
te é mais bem estruturado como um projeto conjunto com o Departamento de Recursos Humanos. 


O programa constante de conscientizacgao precisa ser criativo e usar cada canal disponivel para 
comunicar as mensagens de seguranga para que elas sejam lembradas e para que os empregados tenham 
sempre em mente os bons habitos de seguranga. Os métodos devem usar todos os canais tradicionais, 
além dos nao tradicionais que sejam imaginados pelas pessoas designadas para implementar e desen- 
volver 0 programa. Assim como acontece na propaganda tradicional, o humor e a inteligéncia ajudam. A 
mudanga na redacao das mensagens evita que elas se tornem familiares demais para serem ignoradas. 


A lista de possibilidades de um programa constante de conscientiza¢ao poderia incluir: 


¢ O fornecimento de exemplares deste livro para todos os empregados. 


e A inclusao de itens informativos nas circulares da empresa: por exemplo, artigos, lembretes 
(de preferéncia itens curtos que chamem a atengao) ou quadrinhos. 


¢ Acoloca¢gaéo de uma foto do Empregado da Seguranga do Més. 

e P6steres afixados nas areas dos empregados. 

e Notas publicadas no quadro de avisos. 

¢ O fornecimento de lembretes impressos nos envelopes de pagamento. 

¢ O envio de lembretes por correio eletrénico. 

O uso de protecées de tela relacionadas com seguranga. 

e A transmissao de antincios sobre a seguran¢a por meio do sistema de voice mail. 


e A impressao de etiquetas para o telefone com mensagens tais como "A pessoa que esta ligan- 
do é quem ela diz ser?". 


e A cconfiguragéo de mensagens de lembrete que aparecem quando 0 computador é ligado, tais 
como "Criptografe as informagoes confidenciais antes de envia-las". 


e A inclusdo da conscientizagao para a segurang¢a como um item-padrao nos relat6érios de 
desempenho dos empregados e nas andalises anuais. 


e A publicacao na intranet de lembretes de conscientizagao para a seguranga, talvez usando 
quadrinhos ou humor, ou alguma outra maneira que incentive as pessoas a lerem. 


¢ O uso de um quadro eletrénico de mensagens na lanchonete, com um lembrete de seguranga 
que seja trocado freqiientemente. 


e A distribuicgao de folhetos ou brochuras. 
e Epense naqueles biscoitos da fortuna que sao distribuidos de graga na lanchonete, contendo 
cada um deles um lembrete sobre a segurangca em vez de uma previsao. 


A ameaga é constante; os lembretes também devem ser constantes. 


O QUE HA PARA MIM? 


Além dos programas de treinamento e conscientizacao sobre a seguran¢a, recomendo um programa 
ativo e bem divulgado de recompensas. Vocé deve reconhecer os empregados que detectaram e evi- 
taram uma tentativa de ataque de engenharia social ou que de alguma outra maneira contribuiram 
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para o sucesso do programa de segurang¢a das informacoes. A existéncia do programa de recompensas 
deve ser anunciada para os empregados em todas as sess6es de conscientiza¢ao sobre a segurang¢a, e 
as violagdes da seguranca devem ser amplamente divulgadas em toda a organiza¢ao. 


Por sua vez, aS pessoas devem ter conhecimento das conseqiiéncias de nao seguirem as politicas 
de segurang¢a das informacoes por falta de cuidado ou resisténcia. Embora todos cometamos erros, as 
violacgOes repetidas dos procedimentos de seguranga nao devem ser toleradas. 


i ae ae ee ae 


Recomendacoes de Politicas 
de Seguranca das Informacoes 
Corporativas 


ove entre dez grandes corporagoes e 6rgaos governamentais j4 foram atacados por invasores 

de computadores, ajulgar pelos resultados de uma pesquisa realizada pelo FBI e reportada 

pela Associated Press em abril de 2002. Curiosamente, o estudo descobriu que apenas uma 
em trés empresas relatou ou reconheceu publicamente os ataques. Essa reserva em se confessar 
vitima faz sentido. Para evitar a perda da confianga do cliente e para evitar outros ataques por parte 
de invasores que descobriram que uma empresa pode ser vulneravel, a maioria das empresas nao 
informa publicamente os incidentes de seguranga com seus computadores. 


Parece que nao ha estatisticas sobre os ataques da engenharia social e, se houvesse, os nime- 
ros seriam muito pouco confidveis. Na maior parte dos casos uma empresa nunca sabe quando um 
engenheiro social "roubou" as informagdes, de modo que muitos ataques nao sao notados nem 
relatados. 


Existem medidas efetivas que podem ser usadas contra a maioria dos tipos de ataques da enge- 
nharia social. Mas vamos enfrentar a realidade — a menos que todos da empresa entendam que a 
seguranca é importante e fagam com que seus funcionarios saibam e sigam as politicas de segurang¢a, 
os ataques da engenharia social sempre representarao um risco sério para a empresa. 


Na verdade, a medida que os aperfeigoamentos sao feitos nas armas tecnolégicas contra as que- 
bras de seguranga, a abordagem da engenharia social de usar as pessoas para acessar as informa¢oes 
da empresa ou penetrar na rede corporativa quase certamente serao mais freqiientes e atraentes para 
os ladrdes das informacédes. Um espiao industrial tentara atingir seu objetivo usando 0 método mais 
facil e que envolva 0 menor risco de ser descoberto. Na verdade, uma empresa que protegeu seus 
sistemas de computadores e empregou tecnologias de segurang¢a complexas pode dai para frente 
estar mais vulneradvel aos atacantes que usam métodos e taticas da engenharia para conseguir seus 
objetivos. 


Este capitulo apresenta as politicas especificas criadas para minimizar 0 risco de uma empresa 
sofrer ataques relacionados com engenharia social. As politicas abordam os ataques que se baseiam 
nao apenas na explora¢ao das vulnerabilidades técnicas, mas que envolvem o uso de algum tipo de 
pretexto ou truque para enganar um empregado de confian¢ga para que ele forneca as informagoes 
relativas a determinada acdo que de ao atacante 0 acesso as informa¢oes confidenciais da empresa ou 
aos seus sistemas e redes de computadores. 
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O QUE E UMA POLITICA DE SEGURANCA? 


As politicas de seguranga sao instrugdes claras que fornecem as orientagdes de comportamento do 
empregado para guardar as informacgdes, e sao um elemento fundamental no desenvolvimento de 
controles efetivos para contra-atacar as possiveis ameacas a seguranga. Essas politicas estao entre as 
mais significativas no que diz respeito a evitar e detectar os ataques da engenharia social. 


Os controles efetivos de segurancga sao implementados pelo treinamento dos empregados, bem 
como por politicas e procedimentos bem documentados. Entretanto, é importante observar que as po- 
liticas de seguranga, mesmo que sejam seguidas religiosamente por todos os empregados, nao evitam 
todos os ataques da engenharia social. Por isso, um objetivo ideal seria sempre minimizar o risco até 
um nivel aceitavel. 


As politicas apresentadas aqui incluem medidas que, embora nao se concentrem estritamente nas 
questdes da engenharia social, estaéo aqui porque tratam das técnicas normalmente usadas nos ataques 
da engenharia social. Por exemplo, as politicas sobre a abertura dos anexos de correio eletrénico 
— as quais podem instalar software Cavalo de Tr6éia, permitindo que o atacante tome o computador 
da vitima — abordam um método muito usado pelos invasores de computadores. 


Etapas para o desenvolvimento de um programa 


Um programa de seguranca da informagdo abrangente comega com uma avaliacao de risco que visa 
determinar: 


¢ Quais sao as informagdes da empresa que precisam ser protegidas? 
* Quais ameagas especificas existem contra os ativos? 


¢ Qual dano seria causado as empresas se essas ameacas em potencial se materializassem? 


O objetivo primario da avaliacgdo de risco é priorizar as informagd6es que precisam de prote¢ao 
imediata, e se essa protecao sera eficaz em termos de custo com base em uma anAlise do custo/benefi- 
cio. Em resumo, quais informac6es serao protegidas em primeiro lugar e quanto custara para proteger 
essas informacoes? 


E essencial que a geréncia de primeiro escalao adote e suporte com firmeza o desenvolvimento de 
politicas de seguranca e de um programa de seguranga das informacgdes. Assim como qualquer outro 
método corporativo, para que um programa de seguranga seja bem-sucedido, a geréncia deve fazer 
mais do que apenas apoia-lo, deve demonstrar um comprometimento pelo exemplo pessoal. Os em- 
pregados precisam ter consciéncia de que a geréncia acredita que a seguran¢a das informacgées é vital 
para a operacgao da empresa, de que a protecao das informacgdes comerciais da empresa é essencial 
para que ela continue funcionando e de que o trabalho de cada empregado pode depender do sucesso 
do programa. 


A pessoa designada para criar as politicas de seguranca da informac¢dao precisa entender que as 
politicas devem ser escritas em um estilo que nao faca uso de jargao técnico e que possa ser facil- 
mente entendido pelo empregado nao técnico. Também é importante que o documento deixe claro 
que cada politica é importante, caso contrario os empregados podem encara-las como perda de tempo 
e nao cumpri-las. O redator dessa politica deve criar um documento que apresente as politicas e um 
documento separado para os procedimentos, porque as politicas provavelmente mudam com menos 
freqiiéncia do que os procedimentos especificos usados para implementa-las. 
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Além disso, o redator das politicas deve estar consciente dos meios pelos quais as tecnologias da 
segurancga podem ser usadas para implantar as boas praticas da segurancga das informac¢oes. Por exem- 
plo. a maioria dos sistemas operacionais possibilita a solicitagao de que as senhas de usuario atendam a 
determinadas especificag6es, tais como tamanho. Em algumas empresas, uma politica que proibe que os 
usuarios fagam o download de programas pode ser controlada por meio de definic6es locais ou globais 
de diretrizes de seguran¢a dentro do sistema operacional. As politicas devem exigir 0 uso da tecnologia 
sempre que isso for eficaz em termos de custo, para remover a tomada de decisao com base nas pessoas. 


Os empregados devem ser aconselhados sobre as conseqiiéncias do nao-cumprimento das politi- 
cas e dos procedimentos de seguranca. Um resumo das conseqiiéncias da violacao das politicas deve 
ser desenvolvido e amplamente divulgado. Por sua vez, um programa de recompensa deve ser criado 
para os empregados que demonstram boas praticas de seguranga ou que reconhecem e relatam um 
incidente de seguranca. Sempre que um empregado for recompensado por frustrar uma quebra de 
seguranc¢a, isso deve ser amplamente divulgado em toda a empresa, como por exemplo, em um artigo 
na circular da empresa. 


Um dos objetivos de um programa de conscientizagao sobre a seguranga é a comunica¢ao da 
importancia das politicas de seguranga e o dano que a falha em seguir essas regras pode causar. 
Dada a natureza humana, os empregados as vezes ignoram ou sabotam as politicas que parecem ser 
injustificadas ou que demandam muito tempo. A geréncia tem a responsabilidade de garantir que os 
empregados entendam a importancia das politicas e seyjam motivados para atendé-las, e nao trata-las 
como obstaculos a serem contornados. 


E importante notar que as politicas de segurancga das informagdes nao podem ser inflexiveis. 
Uma empresa precisa mudar a medida que surgem novas tecnologias de seguran¢a, e 4 medida que as 
vulnerabilidades de seguranga evoluem, as politicas precisam ser modificadas ou suplementadas. Um 
processo de exame e atualizacao regular deve ser estabelecido. Tome as politicas e os procedimentos de 
seguranc¢a corporativa disponiveis por meio da intranet corporativa ou mantenha-os em uma pasta que 
esteja disponivel para todos. Isso aumenta a probabilidade de que tais politicas e procedimentos sejam 
examinados com mais freqiiéncia e fornece um método conveniente para que os empregados encontrem 
rapidamente a resposta para todas as perguntas relacionadas com a seguranga das informacoes. 


Finalmente, testes periddicos de penetracgao e avaliagdes de vulnerabilidade que usam os métodos 
e as taticas da engenharia social devem ser conduzidos para expor os pontos fracos do treinamento 
ou a falta de cumprimento das politicas e dos procedimentos da empresa. Antes de usar qualquer tati- 
ca de teste de penetracgao simulado, os empregados devem ser avisados de que tais testes podem 
ocorrer de tempos em tempos. 


Como usar essas politicas 


As politicas detalhadas apresentadas neste capitulo representam apenas um subconjunto das poli- 
ticas de segurancga das informag6es que, creio, sejam necessarias para diminuir todos os riscos de 
seguran¢a. Da mesma forma, as que estao incluidas aqui nao devem ser consideradas como uma 
lista abrangente de politicas de seguranga das informagdes. Em vez disso, elas formam a base para a 
criag¢ao de um corpo abrangente de politicas de segurancga que sejam apropriadas para as necessidades 
especificas da sua empresa. 


Os redatores das politicas de uma organiza¢ao terao de escolher as politicas apropriadas com 
base no ambiente e nos objetivos de negécios de suas empresas. Cada organiza¢a4o, com seus requi- 
sitos de seguranga diferentes, baseados nas necessidades, nos requisitos legais, na cultura organi- 
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zacional e nos sistemas de informacoes utilizados estabelecera as politicas apresentadas e omitira o 
restante. 


Também é preciso fazer op¢oes sobre a rigidez das politicas em cada categoria. Uma empresa me- 
nor localizada em uma Unica instalagao na qual a maioria dos empregados se conhece nao precisa estar 
muito preocupada com o fato de o atacante ligare se fazer passar por um empregado (embora, é claro, 
um impostor pode se fazer passar por um fornecedor). Da mesma forma, apesar dos riscos maiores, 
uma empresa estruturada com uma cultura corporativa mais liberal e solta pode querer adotar apenas 
um subconjunto limitado das politicas recomendadas para atender a seus objetivos de seguranga, 


CLASSIFICACAO DE DADOS 


Uma politica de classificagaéo de dados é fundamental para proteger as informagdes de uma organiza- 
¢ao e para estabelecer as categorias responsaveis pela liberacao das informacg6es confidenciais. Essa 
politica fornece uma estrutura para proteger as informag6es corporativas tornando os empregados 
conscientes do nivel de confidencialidade de cada informac¢ao. 


A operacao sem uma politica de classificagaéo de dados — 0 que ocorre em quase todas as empre- 
sas hoje em dia — deixa a maioria dessas decis6es nas maos de funcionarios individuais. As decisOes 
dos empregados, naturalmente, baseiam-se em fatores subjetivos, e nao na confidencialidade, no fator 
critico e no valor das informacgoées. As informagdes também sao liberadas porque os empregados nao 
tém conhecimento de que ao responder a uma solicitagao de informacoes, eles podem estar colocan- 
do-as nas maos de um atacante. 


A politica de classificagao de dados define orientagdes para classificar as informa¢goes valiosas 
em varios niveis. Com uma classifica¢g4o para cada item, os empregados podem acompanhar um con- 
junto de procedimentos de tratamento de dados que protege a empresa contra a libera¢ga4o inadvertida 
ou descuidada das informacoes confidenciais. Esses procedimentos diminuem a possibilidade de que 
os empregados sejam enganados e revelem informacg6ées confidenciais para pessoas nao autorizadas. 


Cada empregado deve ser treinado na politica corporativa de classificagao de dados, incluindo 
aqueles que nao usam os computadores ou os sistemas de comunica¢gOes corporativas. Como cada 
membro da forga de trabalho corporativa — incluindo a equipe de limpeza, os guardas da seguranga 
e a equipe da sala da copiadora, bem como consultores, contratados e até mesmo estagidrios — pode 
ter acesso as informacgées confidenciais, todos podem ser um alvo de ataque. 


A geréncia deve designar um Proprietario das Informagoes que sera responsavel por todas as infor- 
mag¢oes usadas no momento na empresa. Entre outras coisas, o Proprietario das Informag6es é responsa- 
vel pela protecao das informacgées. Normalmente, o Proprietario determina o nivel de classificagao que 
sera designado com base na necessidade de proteger as informag6es, reavalia periodicamente o nivel de 
classificagao designado e trata das alteragdes necessarias. O Proprietario das Informag6des também pode 
delegar a responsabilidade de proteger os dados a um Custodiante ou Representante. 


Categorias e definicoes das classificacoes 


As informag6es devem ser separadas em diversos niveis de classificagaéo com base na sua confiden- 
cialidade. Apds determinado sistema de classificagao estar configurado, a reclassificagao das infor- 
ma¢goes em novas categorias é um processo caro e demorado. Na nossa politica de exemplo escolhi 
quatro niveis de classificagao, 0 que é apropriado para a maioria das empresas de médio a grande 
porte. Dependendo do numero e dos tipos de informacoes confidenciais, as empresas podem optar por 
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incluir mais categorias para controlar mais ainda os tipos especificos de informagdes. Nas empresas 
menores, um esquema de classificagaéo em trés niveis pode ser suficiente. Lembre-se de que quanto 
mais complexa for a classificagaéo, maiores serao as despesas com o treinamento dos empregados e a 
implantacgao do sistema. 


Confidencial. Esta categoria de informacoes é a mais confidencial. As informagées confidenciais 
s6 sao usadas dentro da organiza¢ao. Na maioria dos casos, elas s6 devem ser compartilhadas 
com um nimero muito limitado de pessoas que tenham necessidade absoluta de conhecé-las. 
A natureza das informacgdes Confidenciais é tal que toda divulga¢ao nao autorizada pode ter 
um impacto sério sobre a empresa, sobre seus acionistas, seus parceiros de negécios e/ou seus 
clientes. Os itens das informacgédes Confidenciais geralmente se classificam em uma destas 
categorias: 


e As informacoes relativas aos segredos comerciais, o cédigo-fonte proprietario, as especi- 
ficagdes técnicas ou funcionais ou as informagdes de produto que podem ser vantajosas 
para um concorrente. 


e As informagédes de marketing e financeiras nao disponiveis para o publico. 


¢ Todas as outras informag6des que sao vitais para a operacao da empresa, tais como as es- 
tratégias futuras de negécios. 


Particular. Esta categoria aborda as informagoes de natureza pessoal que se destinam apenas 
ao uso dentro da organizacao. Toda divulga¢ao nao autorizada das informacoes Particulares 
poderia ter um impacto sério sobre os empregados ou a empresa se elas fossem obtidas por 
pessoas nao autorizadas (particularmente pelos engenheiros sociais). Os itens das informa- 
¢des Particulares podem incluir 0 hist6érico médico de empregados, os beneficios de satide, as 
informagoes de contas bancarias, o historico de salario ou qualquer outra informacao pessoal 
identificadora que nao seja de dominio publico. 


Observacao 


A categoria de informacoes Interna tambem é chamada de Confidencial pelo pessoal 
da seguranca. Escolhi usar Interna porque o termo é auto-explicativo para o publico a 
que se destina. Usei o termo Confidencial nao como uma classificagao de seguranga. 
mas como um metodo conveniente de se referir as informa¢goes Confidenciais, Particu- 
lares e Internas; dito de outra forma, Confidencial refere-se a qualquer informacao da 
empresa que nao seja criada especificamente como Publica. 


Interna. Esta categoria de informag6es pode ser fornecida livremente para todas as pessoas 
empregadas pela organizacao. Normalmente, a divulgacao nao autorizada das informag6es 
Internas nao deve causar grandes danos para a empresa, para seus acionistas, seus parceiros 
de negocios, seus clientes ou seus empregados. Entretanto, as pessoas adeptas das habilidades 
da engenharia social podem usar essas informac6es para se fazerem passar por um empregado 
autorizado, contratado, ou fornecedor, e enganar o pessoal desavisado para que fornegam 
informago6es confidenciais, o que resultaria no acesso nao autorizado aos sistemas de compu- 
tadores corporativos. 
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Para que as informagoes Internas sejam divulgadas para terceiros é preciso assinar um 
contrato de confidencialidade. Esses terceiros incluem empregados de empresas de forne- 
cedores, mao-de-obra contratada, empresas parceiras e assim por diante. As informaco6es 
Internas incluem tudo o que seja usado durante a atividade didria de negécios e que nao deve 
ser liberado para estranhos, tais como os graficos organizacionais da corporacao, os numeros 
de discagem de rede, os nomes dos sistemas internos, os procedimentos de acesso remoto, os 
cédigos do centro de custo e outros. 


Publica. As informacg6es que foram criadas especificamente para liberagdo para o publico. Este 
tipo de informacgao pode ser distribuido livremente para todas as pessoas e incluem os press 
releases, as informacoes de contato de suporte ao cliente ou as brochuras de produto. Observe 
que todas as informacOes que nao sao criadas especificamente como Publicas devem ser tra- 
tadas como informacgdes Confidenciais. 


Terminologia dos dados classificados 


Com base nessa classificagéo, os dados devem ser distribuidos para determinadas categorias de pes- 
soas. Varias politicas deste capitulo referem-se as informacOes que sao dadas para uma Pessoa Ndo 
Verificada. Para fins destas politicas, uma Pessoa Nao Verificada é alguém que 0 empregado nao co- 
nhece pessoalmente, e nao sabe se 6 um empregado ou se tem o cargo adequado para ter acesso as 
informag6es, nem se foi autorizado por terceiros. 


No ambito destas politicas, a Pessoa de Confianca é aquela que vocé conhece pessoalmente e 
sabe que é empregado, cliente ou consultor da empresa com o cargo adequado para ter acesso as 
informacgdes. Uma Pessoa de Confianga também pode ser um empregado de outra empresa que es- 
tabeleceu um relacionamento com a sua empresa (por exemplo, um cliente, fornecedor ou parceiro 
estratégico de negécios que assinou um contrato de confidencialidade). 


Na autorizacdo de terceiro, uma Pessoa de Confianga confirma o vinculo empregaticio ou status 
de uma pessoa e da sua autoridade para solicitar informagdes ou uma agao. Observe que, em alguns 
casos, essas politicas exigem que vocé verifique se a Pessoa de Confianga ainda esta empregada pela 
empresa antes de responder a uma solicitagao de informagées ou acao feita por alguém para quem 
eles nunca deram autorizacao. 


Uma conta privilegiada e um computador ou outra conta que requer permissao de acesso 
além da conta de usuario basica, tal como uma conta de administrador de sistema. Os empregados 
que tem contas privilegiadas podem modificar os privilégios de usuario ou executar as fungdes de 
sistema. 


Uma caixa de correio departamental geral é uma caixa postal de voice mail que possui uma 
mensagem genérica para o departamento. Ela é usada para proteger nomes e ramais de telefone de 
empregados que trabalham em determinado departamento. 


PROCEDIMENTOS DE VERIFICACAO E AUTORIZACAO 


Os ladroes de informa¢gdes usam taticas fraudulentas para acessar ou obter informagdes comerciais 
confidenciais ao se passar por empregados legitimos, contratados, fornecedores ou parceiros de ne- 
gdécios. Para manter a seguranga efetiva das informa¢gdes, um empregado que recebe uma solicitagao 
para executar uma acao ou fornecer informacoes confidenciais deve identificar o interlocutor correta- 
mente e verificar a sua autoridade antes de atender a uma solicita¢ao. 
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Os procedimentos recomendados neste capitulo foram criados para ajudar um empregado que 
recebe uma solicitagao por qualquer meio de comunicag¢ao, tal como telefone, correio eletr6nico ou 
fax a determinar se a solicitag4o e a pessoa que a faz sao legitimas. 


Solicitagoes de uma pessoa de confianca 
A solicitagao de informagao ou acao feita por uma Pessoa de Confianga pode exigir: 


e A verificagaéo de que a empresa emprega ou tem um relacionamento com a pessoa, e esse 
relacionamento prevé acesso a essa categoria de informacoées. Isto serve para evitar que os 
empregados, fornecedores, contratados e outros que nao estejam mais associados a empresa 
fagam-se passar por pessoal da ativa. 


e A verificagao de que a pessoa tem necessidade de saber a informagao e se ela esta autorizada 
a ter acesso as informacg6es ou a a acao. 


Solicitagoes de uma pessoa nao verificada 


Quando uma solicitacao é feita por uma Pessoa Nao Verificada, um processo razoavel de verificagao 
deve ser desenvolvido para checar se a pessoa que faz a solicitagao esta autorizada a receber as infor- 
macgoes solicitadas, particularmente quando a solicitagao envolve de alguma maneira equipamento 
de computador ou relacionado a ele. Este processo é um controle fundamental para evitar os ataques 
bem-sucedidos da engenharia social. Se estes procedimentos de verificagao forem seguidos, eles re- 
duzirao em muito os ataques da engenharia social. 


E importante que vocé nao tome o processo muito complicado a ponto de o seu custo torna-lo 
proibitivo, ou a ponto de os empregados o ignorarem. Como mostram as informag6es abaixo, o pro- 
cesso de verificagao envolve trés etapas: 


e A verificagao de que a pessoa é quem ela alega ser. 


e A determinagao de que o solicitante esta empregado no momento ou compartilha de um rela- 
cionamento com a empresa no qual ele precisa ter as informacoes. 


e A determinagdo de que a pessoa esta autorizada a receber informac¢oes especificas ou ligar 
para pedir a acao. 


Etapa um: verificagao da identidade 


As trés etapas recomendadas para a verificagao sao relacionadas abaixo por ordem de eficiéncia 
— quanto maior o numero, mais efetivo sera 0 método. Cada item também inclui uma declara¢ao 
sobre os pontos fracos daquele método em particular e 0 modo pelo qual um engenheiro social po- 
de burlar os métodos e enganar o empregado. 


1. ID de chamadas (supondo que este recurso esteja incluido no sistema telefOnico da empre- 
sa). No visor do ID de chamadas, verifique se a ligagao vem de fora ou de dentro da empresa 
e€ se 0 nome ou numero de telefone exibido coincide com a identidade fornecida pelo inter- 
locutor. 


Ponto fraco: As informag6es do ID de chamadas de uma liga¢ao externa podem ser falsificadas 
por alguém que tenha acesso a um PBX ou telefone conectado ao servico telef6nico digital. 
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Ligacao de retorno. Procure 0 nome da pessoa no diret6rio da empresa e ligue de volta para 
o ramal relacionado para verificar se o solicitante €é um empregado. 


Ponto fraco: Um atacante com conhecimento suficiente pode fornecer o ramal de uma em- 
presa para que, quando o empregado fizer a ligacao de verificagao para o numero do telefone 
relacionado, a ligacao seja transferida para o nimero de telefone externo do atacante. 


Autorizacgao. Uma Pessoa de Confiancga que garante a identidade do solicitante e que o verifica. 


Ponto fraco: Os atacantes usam um pretexto para convencer outro empregado de que eles 
tém mesmo aquela identidade e, assim, podem fazer com que aquele empregado se responsa- 
bilize por eles. 


Segredo compartilhado. Use um segredo compartilhado na empresa, tal como uma senha ou 
cédigo diario. 


Ponto fraco: Se muitas pessoas compartilham do segredo, um atacante pode descobri-lo 
facilmente. 


Supervisor/gerente do empregado. Ligue para o supervisor imediato do empregado e soli- 
cite a verificacao. 


Ponto fraco: Se o solicitante forneceu o nimero do telefone do seu gerente, a pessoa com 
quem o empregado fala ao ligar para o nimero pode nao ser verdadeiramente o gerente, mas 
sim um cumplice do atacante. 


E-mail seguro. Solicite uma mensagem assinada digitalmente. 


Ponto fraco: Se um atacante j4 comprometeu o computador de um empregado e instalou 
um detector de teclas digitadas (Keystrokes loggers) para obter a senha da chave privada do 
empregado, ele pode enviar um e-mail assinado digitalmente que parece ser do empregado. 


Reconhecimento pessoal de voz. A pessoa que recebe a solicitagao ja falou com o solicitante 
(de preferéncia pessoalmente) e sabe com certeza que a pessoa é uma Pessoa de Confianga e 
esta familiarizado com ela para reconhecer sua voz ao telefone. 


Ponto fraco: Este é um método relativamente seguro, o qual nao pode ser burlado facilmente 
por um atacante, mas nao tem utilidade se a pessoa que recebe a solicitagao nunca falou com 
Oo solicitante. 


Determina¢gao dinadmica de senha. O solicitante autentica a si mesmo usando uma determi- 
nacao dinamica de senha, tal como um ID Seguro. 


Ponto fraco: Para burlar este método, um atacante teria de obter um dos dispositivos de 
senha dinamica, bem como o PIN respectivo do empregado a quem o dispositivo pertence 
de direito, ou teria de enganar um empregado para que ele lesse as informagoes da tela do 
dispositivo e fornecesse o PIN. 
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9. Pessoalmente com o ID. O solicitante apresenta-se pessoalmente e mostra o craché de um 
empregado ou outra identificagao adequada, de preferéncia uma identificagao com foto. 


Ponto fraco: Os atacantes quase sempre podem roubar o cracha de um empregado ou podem 
criar um cracha falso que parece ser auténtico. Entretanto, os atacantes em geral nao gostam 
desta abordagem porque com ela correm 0 risco de ser identificados e detidos. 


Etapa dois: verificacao do status do empregado 


A maior ameaga a seguranc¢a das informagdes nao vem do engenheiro social nem do invasor habilido- 
so de computadores, mas de alguém muito mais proximo: 0 empregado que acabou de ser demitido e 
que busca vinganga ou espera abrir seu préprio negécio usando as informacoes roubadas da empresa. 
(Observe que este procedimento também pode ser usado para verificar se alguém ainda desfruta de 
algum relacionamento comercial com a sua empresa, tal como um fornecedor, um consultor ou um 
contratado.) 


Antes de fornecer as informagdes Confidenciais para outra pessoa ou aceitar instrugdes para 
realizar agdes que envolvam computador ou equipamento relacionado, vocé deve verificar se o soli- 
citante ainda é um empregado da empresa com um destes métodos: 


Verificacao na lista de empregados. Se a empresa tiver uma lista on-line de empregados que 
liste com precisao quem sao os empregados ativos, verifique se o solicitante ainda esta rela- 
cionado. 


Verificacao com o gerente do solicitante. Ligue para o gerente do solicitante usando um nimero 
de telefone relacionado no cadastro da empresa, e nado um numero fornecido pelo solicitante. 


Verificacao do departamento ou grupo de trabalho do solicitante. Ligue para o departamento 
ou grupo de trabalho do solicitante e verifique com alguém que trabalhe 14 se o solicitante 
ainda é empregado da empresa. 


Etapa trés: verificagao da necessidade de saber 


Além de verificar se o solicitante € um empregado atual ou se tem um relacionamento com a sua 
empresa, ainda é preciso saber se ele esta autorizado a acessar as informagoes solicitadas ou se esta 
autorizado a solicitar aquelas ages especificas que afetam os computadores ou equipamento rela- 
cionado. 


Essa verificagao pode ser feita usando um destes métodos: 


Consulte as listas de cargo/grupo de trabalho/responsabilidades. Uma empresa pode for- 
necer acesso facil as informag6es de autorizacgao publicando listas dos empregados que 
podem receber as informacgées. Essas listas podem estar organizadas por cargo, departa- 
mentos e grupos de trabalho, responsabilidades do empregado ou por alguma combina- 
cao desses critérios. Tais listas tém de ser mantidas on-line para que sejam atualizadas e 
fornegam acesso rapido as informagées de autorizagao. Os Proprietarios de Informagées 
seriam responsaveis pela supervisdo da criagao e manuteng¢aéo das listas que estao sob seu 
controle. 
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Observacao 


E importante observar que a manutencdo dessas listas 6 um convite para o engenheiro 
social. Se um atacante que visa uma empresa toma conhecimento de que ela mantém 
tais listas, ele tem uma motivacao forte para obter uma. De posse dela, ele pode abrir 
muitas portas e colocar a empresa em serio risco. 


Obtenha autorizacao de um gerente. Um empregado entra em contato com o seu proprio geren- 
te ou com o gerente do solicitante para pedir autoriza¢ao para atender a solicitacao. 


Obtenha autorizacao do proprietario ou criador das informagoées. O Proprietario das Infor- 
macoes é 0 juiz final que determina se uma pessoa deve ou nao receber 0 acesso. O processo 
para o controle do acesso baseado em computador diz que 0 empregado deve entrar em con- 
tato com seu gerente imediato para aprovar uma solicitagao de acesso as informacgoes levando 
em conta perfis de cargo existentes. Se tal perfil nao existir, o gerente tem a responsabilidade 
de contatar o Proprietario dos Dados para pedir permissao. Essa cadeia de comandos deve ser 
seguida para que os Proprietarios das Informag6es nao sejam sobrecarregados com solicita- 
¢des quando houver necessidade freqiiente das informac¢oes. 


Obtenha autorizacao por meio de um pacote de software proprietario. Para uma empresa 
grande que atua em uma indistria altamente competitiva, uma solucao pratica é desenvolver 
um pacote de software proprietario que forneca autoriza¢gao de acesso as informacoées. Tal 
banco de dados armazena os nomes e os privilégios de acesso dos empregados as informa- 
¢des confidenciais. Os usuarios nao poderiam examinar os direitos de acesso de cada indi- 
viduo, mas digitariam o nome do solicitante e o identificador associado as informacg6es que 
estao sendo pedidas. Em seguida, 0 software fornece uma resposta indicando se 0 emprega- 
do esta ou nao autorizado a acessar tais informacoes. Essa alternativa evita 0 risco de criar 
uma lista de pessoal com os respectivos direitos de acesso a informagoées valiosas, criticas 
ou confidenciais que podem ser roubadas. 


POLITICAS DE GERENCIAMENTO 


As proximas politicas aplicam-se aos empregados no nivel da geréncia. Elas estéo divididas em 
Classificagao de Dados, Divulgacao de Informacées, Administracgao de Telefone e Politicas Diversas. 
Observe que cada categoria de politica usa uma estrutura exclusiva de numerag¢ao para facilitar a 
identificagao das politicas individuais. 


Politicas de classificacao de dados 


A Classificagaéo de Dados refere-se ao modo como a sua empresa classifica a confidencialidade das 
informag6es e quem deve ter acesso a elas. 


1-1 Designagao da classificagao de dados 


Politica: Todas as informagées valiosas, confidenciais ou criticas de negécios devem ser desig- 
nadas a uma categoria de classificagao pelo Proprietario das Informac6es ou delegado. 
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Explicacao/Observacoes: O Proprietario designado ou delegado estabelece a classificagao 
apropriada de dados para todas as informacg6es que sao usadas rotineiramente para atingir os objetivos 
da empresa. O Proprietario também controla quem pode acessar tais informac¢oes e sua utilizacgao. Ele 
pode fazer nova designacéo da classificagao e pode fixar um periodo de tempo para a desclassifica¢gao 
automatica. 


Todo outro item que nao esteja marcado deve ser classificado como Confidencial. 


1-2 Publicagao dos procedimentos confidenciais de tratamento 


Politica: A empresa deve estabelecer os procedimentos que regem a liberacdo das informac6es 
em cada categoria. 


Explicacao/Observacoées: Depois que as classificagdes sao feitas, devem ser estabelecidos 
Os procedimentos para a liberacgdo das informacgées pelos empregados para as pessoas fora da empre- 
sa, como detalhou o item Procedimentos de verificacdo e autorizacdo anteriormente neste capitulo. 


1-3 Rotulacao de todos os itens 


Politica: | Marque claramente o material impresso e 0 armazenamento de midia que contém in- 
formacgoes Confidenciais, Privadas ou Internas para que mostrem a classificagao de dados apropriada. 


Explicacao/Observacoes: Os documentos impressos devem ter uma capa, com uma eti- 
queta de classifica¢ao clara, e cada pagina deve conter uma etiqueta de classificagao que esteja visivel 
quando o documento for aberto. 


Todos os arquivos eletr6nicos que nao podem ser facilmente rotulados com as classificagdes de 
dados apropriadas (banco de dados ou arquivos de dados brutos) devem ser protegidos com controles 
de acesso para garantir que tais informagdes nao sejam divulgadas inadequadamente, e que elas nao 
sejam alteradas, destruidas ou acessadas. 


Toda midia de computador, tal como disquetes, fitas e CD-ROMs, deve ser rotulada com a mais 
alta classificagao das informacgo6es que ela contém. 


Divulgagao das informacoes 


A divulgacgao das informacgées envolve a liberagéo das informagoes para diversas pessoas com base 
em suas identidades e necessidade de obter tal informag¢ao. 


2-1 Procedimento de verificacao de empregado 


Politica: A empresa deve estabelecer procedimentos abrangentes que serao usados pelos 
empregados para verificar a identidade, o status e a autorizagao de um individuo antes de liberar as 
informagoes Confidenciais ou Sigilosas ou de executar uma tarefa que envolva o uso de hardware ou 
software de computador. 


Explicacao/Observacdées: Quando o tamanho da empresa e as necessidades de segurancga 
justificarem, as tecnologias avangadas de seguranca devem ser usadas para autenticar a identidade. 
A melhor pratica de seguranga seria 0 emprego de tokens de autenticagao junto com um segredo 
compartilhado para identificar positivamente as pessoas que fazem as solicitagdes. Embora essa pra- 
tica possa minimizar substancialmente o risco, 0 seu custo seria proibitivo para algumas empresas. 
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Nesses casos, a empresa deve usar um segredo compartilhado em toda a organizac¢ao, tal como uma 
senha ou cédigo diario. 


2-2 Liberacao das informacoes para terceiros 


Politica: | Um conjunto de procedimentos recomendados de divulga¢do de informacées deve 
estar disponivel e todos os empregados devem ser treinados para segui-lo. 


Explicacao/Observacoées: Em geral, para os casos abaixo é preciso estabelecer procedi- 
mentos de distribuicao: 


e As informagoées disponibilizadas dentro da empresa. 


e A distribuigao de informag6es para individuos e empregados das organizacgdes que tém um 
relacionamento estabelecido com a empresa, tal como consultores, funcionarios temporarios, 
estagidrios, empregados de organizacgdes que tém um relacionamento de fornecedor ou uma 
parceria estratégia com a empresa e assim por diante. 


e As informacoes disponibilizadas fora da empresa. 


e As informag6es de cada nivel de classificagéo, quando estéo sendo entregues em pessoa, por 
telefone, correio eletr6nico, fax, voice mail, servico postal, entrega de assinatura e transferén- 
cia eletrénica. 


2-3 Distribuicao de informacoes confidenciais 


Politica: As informagées confidenciais, aquelas que podem causar um dano substancial se fo- 
rem obtidas por pessoas nao autorizadas, podem ser entregues apenas para uma Pessoa de Confianga 
que tenha autorizacao para recebé-las. 


Explicacgao/Observacoes: As informacoes confidenciais em uma forma fisica (ou seja, uma 
cOpia impressa ou um meio de armazenamento removivel) podem ser entregues: 


e Pessoalmente. 
¢ Por correio interno, fechada e marcada com a classificagéo Confidencial. 


e Fora da empresa por um servico de entregas conhecido (ou seja, FedEx, UPS e assim por 
diante) com a assinatura do destinatario, ou por um servico postal usando uma classe de cor- 
respondéncia certificada ou registrada. 


As informacoes confidenciais na forma eletrénica (arquivos de computador, arquivos de banco de 
dados, correio eletrénico) podem ser entregues: 


¢ Como mensagem criptografada de correio eletrénico. 
e Em um anexo de mensagem de correio eletrénico, como um arquivo criptografado. 
e Por transferéncia eletr6nica para um servidor dentro da rede interna da empresa. 


e Por um programa de fax de um computador, desde que apenas os destinatarios pretendidos 
usem a maquina de destino ou que esse destinatario esteja aguardando junto 4 maquina en- 
quanto o fax esta sendo enviado. Como alternativa, os documentos podem ser enviados por 
fax sem que o destinatario esteja presente se for enviado por um link telef6nico criptografado 
ou para um servidor de fax protegido por senha. 
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As informagées confidenciais podem ser discutidas pessoalmente; por telefone dentro da empre- 
sa, por telefone fora da empresa, se estiverem criptografadas, por transmissao criptografada por satélite, 
por link criptografado de videoconferéncia e por Voice Over Internet Protocol (VoIP) criptografado. 


Para a transmissao por maquina de fax, o método recomendado pede que o remetente transmita 
uma pagina de rosto. Ao receber a pagina, o destinatario transmite uma pagina como resposta, de- 
monstrando que ele esta na maquina de fax. Em seguida, 0 remetente transmite o fax. 


Os meios de comunica¢gao a seguir nado devem ser usados para discussao ou distribuicao das 
informag6es Confidenciais: correio eletr6nico nao criptografado, mensagem de voice mail, correio 
regular ou qualquer método de comunica¢aéo sem fio (celular, servigo de recados ou sem fio). 


2-4 Distribuicao de informacoes particulares 


Politica: As informagoes particulares, que s4o aquelas sobre um ou mais empregados que, 
caso sejam divulgadas, podem ser usadas para causar danos a empregados ou a empresa, s6 podem 
ser entregues para uma Pessoa de Confiancga que esteja autorizada a recebé-las. 


Explicacao/Observacoes: As informagoes particulares na forma fisica (ou seja, cOpia im- 
pressa ou dados em um meio de armazenamento removivel) podem ser entregues: 


e Pessoalmente. 
e¢ Por correio interno, fechada e marcada com a classificagao Particular. 


e Por correio regular. 


As informac¢oes particulares na forma eletrénica (arquivos de computador, arquivos de banco de 
dados, correio eletr6nico) podem ser entregues: 


e Por correio eletr6nico interno. 


e Por transferéncia eletr6nica para um servidor dentro da rede interna da empresa. 


e Por fax, desde que apenas o destinatario pretendido use a maquina de destino, ou que esse 
destinatario esteja aguardando junto a maquina de destino quando o fax for transmitido. As 
mensagens de fax também podem ser enviadas para servidores de fax protegidos por senha. 
Como alternativa, elas também podem ser enviadas sem que o destinatario esteja presente 
se isso for feito por um link telefOnico criptografado para um servidor de fax protegido por 
senha. 


As informag6es particulares podem ser discutidas pessoalmente, por telefone, em transmissdo 
por satélite, link de videoconferéncia e por VoIP criptografado. 


Os meios de comunica¢ao a seguir nao sao aceitos para a discussaAo ou distribui¢ao das informacées Pa 
qualquer método de comunica¢ao sem fio (celular, SMS ou sem fio). 


2-5 Distribuigao das informacoes internas 


Politica: | As informag6es internas sAo aquelas que devem ser partilhadas apenas dentro da 
empresa ou com outras Pessoas de Confianga que tenham assinado um contrato de confidencialidade. 
Vocé deve estabelecer as orientac6es para a distribuigao das informac¢oes Internas. 
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Explicacao/Observacoes: — As informac6es internas podem ser distribuidas por qualquer 
meio, incluindo correio eletr6nico interno, mas nao podem ser distribuidas fora da empresa na forma 
de correio eletrOnico, a menos que este seja criptografado. 


2-6 Discutindo informacoes confidenciais ao telefone 


Politica: Antes de liberar todas as informag6ées que nao foram designadas como Publicas pelo 
telefone, e necessario reconhecer pessoalmente a voz do solicitante por meio de um contato comer- 
cial prévio, ou 0 sistema de telefones da empresa deve identificar a ligagaéo como sendo feita de um 
numero de telefone interno que foi designado ao solicitante. 


Explicacao/Observacoées: Sea voz do solicitante nao for conhecida, ligue para o numero 
de telefone interno do solicitante para verificar sua voz na mensagem gravada de voice mail ou pega 
para o gerente do solicitante verificar a sua identidade e necessidade de ele ter as informagoes. 


2-7 Procedimentos do pessoal do saguao ou da recepcao 


Politica: O pessoal do saguao deve obter a identificagéo com foto antes de liberar qualquer 
pacote para qualquer pessoa que nao seja conhecida como sendo um empregado da empresa. Um 
controle deve ser mantido para registrar 0 nome, o numero da carteira de habilitagao, a data de nasci- 
mento da pessoa, o item retirado e a data e hora em que foi retirado. 


Explicacao/Observacoes: — Esta politica também se aplica a transmissao de pacotes para 
um servico de mensageiros ou courier, tal como FedEx, UPS ou Airborne Express. Essas empresas 
emitem cart6es de identificagéo que podem ser usados para verificar a identidade do empregado. 


2-8 Transferéncia de software para terceiros 


Politica: Antes da transferéncia ou divulgacao de qualquer software, programa ou instruc6es 
de computador, a identidade do solicitante deve ser verificada positivamente e e preciso estabelecer se 
tal liberagao esta de acordo com a classificagao de dados designada a tais informacdes. Normalmente, 
o software desenvolvido in house no formato de cédigo-fonte é considerado altamente proprietario e 
classificado como Confidencial. 


Explicacao/Observacoes: <A determinacao da autorizagao geralmente se baseia no fato de 
o solicitante precisar acessar o software para realizar seu trabalho. 


2-9 Qualificacao de vendas e marketing das pistas de clientes 


Politica: O pessoal de vendas e marketing deve qualificar as pistas antes de liberar os nimeros 
internos de callback, os planos de produto, os contatos do grupo de produto ou outras informa¢goes 
Sigilosas para um cliente em potencial. 


Explicacao/Observacoes: Uma tatica comum dos espioes industriais é entrar em contato 
com um representante de vendas e marketing e fazer com que ele acredite que uma grande compra 
esta para ser feita. Em um esforco para aproveitar a oportunidade de vendas, os representantes de 
vendas e marketing quase sempre liberam as informac6es que podem ser usadas pelo atacante como 
uma ficha de p6quer para obter 0 acesso as informacoes Sigilosas. 
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2-10 Transferéncia de arquivos ou dados 


Politica: | Os arquivos ou outros dados eletr6nicos nao devem ser transferidos para nenhuma 
midia removivel, a menos que 0 solicitante seja uma Pessoa de Confianga cuja identidade tenha sido 
verificada e que tenha a necessidade de ter tais dados naquele formato. 


Explicacao/Observacoes: Um engenheiro social pode enganar facilmente um empregado 
fornecendo uma solicitagao plausivel para que as informacées Sigilosas sejam copiadas para uma 
fita, disco de zip ou outra midia removivel e para que elas sejam enviadas para ele ou mantidas na 
recepcao para retirada. 


Administracao de telefone 


As politicas de administragao do telefone garantem que os empregados possam verificar a identidade do 
interlocutor e protegem suas proprias informagoes de contato contra aqueles que ligam para a empresa. 


3-1 Encaminhamento de chamadas nos numeros de discagem ou fax 


Politica: Os servicos que permitem o encaminhamento das chamadas para nimeros de telefo- 
nes externos nao devem ser realizados em qualquer modem de discagem ou numero de telefone de 
fax dentro da empresa. 


Explicacao/Observacoes: Os atacantes sofisticados podem tentar enganar o pessoal ou 
os funcionarios internos da empresa de telefonia para que eles encaminhem os ntmeros internos 
para uma linha telef6nica externa sob o controle de um atacante. Esse ataque permite que o intruso 
intercepte faxes, solicite que informac¢des Confidenciais sejam enviadas por fax dentro da empresa 
(0 pessoal supde que o envio de mensagens de fax dentro da organizacao seja seguro) ou engane os 
usuarios de discagem para que fornecam suas senhas de conta para 0 encaminhamento das linhas de 
discagem para um computador falso que simula o processo de login. 


Dependendo do servico telef6nico usado dentro da empresa, 0 recurso de encaminhamento de 
chamadas pode estar sob o controle do provedor de comunicacgées, e nao sob o controle do depar- 
tamento de telecomunicacées. Em tais circunstancias, uma solicitagdo sera feita para o provedor de 
comunicag6es para garantir que esse recurso nao esteja presente nos numeros de telefone designados 
para as linhas de discagem e fax. 


3-2 ID de chamadas 


Politica: | O sistema telef6nico corporativo deve fornecer a identificagdéo da linha do interlo- 
cutor (ID de chamadas) em todos os aparelhos internos de telefone e, se possivel, deve permitir um 
toque distinto para indicar quando uma ligacao é feita de fora da empresa. 


Explicacao/Observacoes: Se os empregados puderem verificar a identidade das ligac6es 
telefOnicas de fora da empresa, podem impedir um ataque ou podem encaminhar o atacante para o 
pessoal adequado na seguranga. 


3-3 Telefones de cortesia 


Politica: Para evitar que os visitantes fagam-se passar por funcionarios da empresa, cada te- 
lefone de cortesia indicara claramente a localizagao da chamada (por exemplo, "Saguao") no ID de 
chamadas do destinatario. 


222 A Arte de Enganar 


Explicacgao/Observacoes: Se o ID de chamadas internas mostrar apenas um numero de 
ramal, as medidas apropriadas devem ser tomadas para as ligac6es feitas dos telefones da empresa 
na area de recepcao e em todas as outras areas publicas. Um atacante nao pode conseguir fazer uma 
ligacgao de um desses telefones e enganar um empregado para que ele acredite que a ligacao foi feita 
internamente de um telefone da empresa. 


3-4 Senhas default do fabricante enviadas com os sistemas de 
telefone 


Politica: O administrador do voice mail deve alterar todas as senhas default que vieram com o 
sistema de telefonia antes de ele ser usado pelo pessoal da empresa. 


Explicacao/Observacoées: Os engenheiros sociais podem obter as listas das senhas default 
com os fabricantes e podem usa-las para acessar as contas de administrador. 


3-5 Caixas postais de departamento 


Politica: Configure uma caixa postal de voz genérica para cada departamento que normalmen- 
te tenha contato com o publico. 


Explicacao/Observacoes: A primeira etapa da engenharia social envolve a coleta das infor- 
macoes sobre a empresa-alvo e seu pessoal. Limitando a acessibilidade dos nomes e nimeros de telefo- 
ne dos empregados, uma empresa torna mais dificil para o engenheiro social a identificagao dos alvos ou 
a obtencao dos nomes dos empregados legitimos que sao usados para enganar o outro pessoal. 


3-6 Verificagcao do fabricante do sistema de telefones 


Politica: _Nenhum técnico do suporte do fabricante podera acessar remotamente o sistema de tele- 
fones da empresa sem a identificagao positiva do fabricante e a autorizacao para executar tal trabalho. 


Explicacao/Observacodes: Os intrusos de computadores que tém acesso aos sistemas tele- 
fOnicos corporativos ganham a capacidade de criar caixas postais de voz, de interceptar as mensagens 
destinadas a outros usuarios ou de fazer ligacgdes telefOnicas gratis pagas pela corporacaéo. 


3-7 Configuragao do sistema de telefones 


Politica: _O administrador do sistema de voice mail implantara os requisitos de seguranga con- 
figurando os parametros de segurancga adequados no sistema de telefones. 


Explicacao/Observacoées: Os sistemas de telefones podem ser configurados com niveis de 
seguran¢a maiores Ou Menores para as mensagens de voice mail. O administrador deve ter conscién- 
cia das quest6es de seguranca da empresa e deve trabalhar com o pessoal da seguranga para configu- 
rar o sistema de telefones para proteger os dados Sigilosos. 


3-8 Recurso de rastreamento de chamadas 


Politica: Dependendo das limitagdes do provedor de comunicag6es, 0 recurso de rastreamento 
de chamadas sera ativado globalmente para permitir que os empregados ativem esse recurso quando 
suspeitarem que o interlocutor é um atacante. 
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Explicacao/Observacoes: Os empregados devem ser treinados no uso do rastreamento de 
chamadas e nas circunstancias apropriadas em que ele deve ser usado. Isso pode ser feito quando o 
interlocutor esta tentando um acesso nao autorizado aos sistemas corporativos de computadores ou 
esta solicitando informagoes Sigilosas. Sempre que um empregado ativa o recurso de rastreamento de 
chamada, uma notificagaéo imediata deve ser enviada para o Grupo de Relatério de Incidentes. 


3-9 Sistemas automatizados de telefones 


Politica: Se a empresa usa um sistema de resposta automatizada de telefone, o sistema deve 
ser programado para que os ramais de telefone nao sejam anunciados quando se transfere uma liga¢ao 
para um empregado ou departamento. 


Explicacao/Observacoes: Os atacantes podem usar o sistema automatizado de telefones 
de uma empresa para mapear os nomes e as extensdes dos empregados. Em seguida, podem usar o 
conhecimento dessas extensOes para convencer os destinatarios das ligagdes que eles so empregados 
e tém direito de obter as informagoes internas. 


3-10 Caixas postais de voz que sao desativadas apos sucessivas 
tentativas invalidas de acesso 


Politica: | Programe o sistema corporativo de telefones para bloquear toda conta de voice mail 
sempre que um numero especificado de tentativas invalidas de acesso tenha sido feito. 


Explicacgao/Observacoes: O administrador de Telecomunicag6es deve bloquear uma caixa 
postal de voz apos cinco tentativas invalidas e sucessivas de login. Em seguida, deve redefinir ma- 
nualmente todos os bloqueios do voice mail. 


3-11 Ramais de telefone restritos 


Politica: | Todos os ramais internos de telefone de departamentos ou grupos de trabalho que 
normalmente nao recebem ligacOes externas (help desk, sala de computadores, suporte técnico do 
empregado e outros) devem ser programados para que s6 sejam acessados dos ramais internos. Como 
alternativa, podem ser protegidos com senhas para que os empregados e outras pessoas autorizadas 
que ligam de fora saibam a senha correta. 


Explicacao/Observacoes: Embora o uso desta politica bloqueie a maioria das tentativas de 
engenheiros sociais amadores de atingir seus provaveis alvos, é preciso notar que um determinado 
atacante as vezes pode convencer um empregado a ligar para o ramal restrito e pedir para a pessoa que 
atender para que ela ligue para o atacante, ou simplesmente falar no ramal restrito. Durante o treina- 
mento de seguranga, esse método de enganar os empregados para que eles ajudem o intruso deve ser 
discutido para que 0 empregado tenha conhecimento dessas taticas. 


Politicas Diversas 


4-1 Projeto do cracha do empregado 


Politica: Os crachas dos empregados devem ser criados para incluir uma foto grande que possa 
ser reconhecida a distancia. 
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Explicacao/Observacoes: <A fotografia comum dos crachas de identificagao corporativa sé 
é, para fins de seguranga, ligeiramente melhor do que nada. A distancia entre uma pessoa que entra no 
prédio e o guarda ou recepcionista que tem a responsabilidade de verificar a identificagaéo em geral é 
grande, e se a foto for muito pequena, nao sera reconhecida quando a pessoa passar Para que a foto 
tenha valor nessa situacao, o cracha precisa ser reprojetado. 


4-2 Exame dos direitos de acesso quando ha mudang¢a de posicao 
ou responsabilidade 


Politica: Sempre que um empregado da empresa muda de posicao ou recebe responsabilidades 
maiores Ou menores, 0 gerente do empregado notificara o departamento de TI sobre a mudanga nas 
responsabilidades do empregado para que o perfil de seguranga apropriado possa ser designado. 


Explicacao/Observacoes: O gerenciamento dos direitos de acesso do pessoal é necessario 
para limitar a divulgacao das informagées protegidas. A regra do menor privilégio sera aplicada. Os 
direitos de acesso designados aos usuarios serao 0 minimo necess4rio para executar suas tarefas. To- 
das as solicitagdes de mudangas que resultem em direitos de acesso mais altos devem estar de acordo 
com uma politica para conceder direitos de acesso elevados. 


O gerente do funcionario ou o departamento de recursos humanos tera a responsabilidade de 
notificar o departamento de tecnologia da informacgao para que ele ajuste os direitos de acesso do 
dono da conta. 


4-3 Identificagao especial para nao-empregados 


Politica: A sua empresa deve emitir um cracha especial com foto para o pessoal de entrega de 
confianga e para nao-empregados que tenham a necessidade comercial de entrar nas instalagoes da 
empresa regularmente. 


Explicacao/Observacoes: Os nao-empregados que precisam entrar no prédio regularmente 
(por exemplo, para fazer entrega de alimentos ou bebidas para o refeit6rio ou para consertar as ma- 
quinas copiadoras ou fazer instalacgoes telef6nicas) podem significar uma ameaca para a sua empresa. 
Além de emitir identificagao para esses visitantes, verifique se os seus empregados estao treinados 
para detectar um visitante sem cracha e se sabem como agir nessa situacao. 


4-4 Desativando as contas de computador dos contratados 


Politica: © Sempre que um contratado que tenha recebido uma conta de computador conclui a 
sua func¢aéo ou quando o contrato expira, 0 gerente responsavel notificara imediatamente o departa- 
mento de tecnologia da informacao para que eles desativem as contas de computador do contratado, 
incluindo todas as contas usadas para 0 acesso a bancos de dados, discagem ou o acesso a Internet de 
localizagdes remotas. 


Explicacao/Observacoes: Quando o contrato de trabalho de um funcionario termina, 
sempre ha o perigo de que ele use 0 conhecimento dos sistemas e procedimentos da empresa para ter 
acesso aos dados. Todas as contas de computador usadas ou de conhecimento do funcionério devem 
ser prontamente desativadas. Isso inclui as contas que fornecem o acesso aos bancos de dados de 
producao, as contas de discagem remota e a todas as contas usadas para acessar os dispositivos rela- 
cionados com computadores. 
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4-5 Organizacao do relatorio de incidentes 


Politica: | Uma organizacao de relatério de incidentes deve ser estabelecida ou, nas empresas 
menores, uma pessoa e um substituto encarregados do relatério de incidentes devem ser designados 
para receber e distribuir os alertas relativos a possiveis incidentes de seguranca em andamento. 


Explicacao/Observacoes: Centralizando o relatério de incidentes suspeitos de seguranga, 
um ataque que possa ter passado despercebido pode ser detectado. No caso de ataques sistematicos 
em toda a organiza¢ao serem detectados e relatados, a organizacao de relatorio de incidentes pode 
determinar 0 que o atacante esta visando para que medidas especiais sejam tomadas para proteger 
aqueles ativos. 


Os empregados designados para receber os relatérios de incidentes devem se familiarizar com 
Os métodos e as taticas da engenharia social para que avaliem os relatérios e reconhegam quando um 
ataque pode estar em andamento. 


4-6 Linha exclusiva de relatorio de incidentes 


Politica: Deve ser estabelecida uma linha exclusiva para a organizacao de relatério de inciden- 
tes, que pode ser um ramal telef6nico facil de lembrar. 


Explicacao/Observacodes: Quando os empregados suspeitarem de que sao alvos de um 
ataque da engenharia social, devem poder notificar imediatamente a organizac¢ao de relatério de inci- 
dentes. Para que a notificagao seja eficaz, todos os telefonistas e recepcionistas da empresa devem ter 
oO nimero a mao ou imediatamente disponivel. 


Um sistema de avisos em toda a empresa pode auxiliar muito a organiza¢ao na detec¢ao e respos- 
ta a um ataque em andamento. Os empregados devem ser bem treinados para que, ao suspeitarem de 
que foram alvo de um ataque da engenharia social, eles imediatamente liguem para a linha exclusiva 
de relat6rio de incidentes. De acordo com os procedimentos publicados, 0 pessoal do relat6rio de 
incidentes notificara imediatamente os grupos-alvo para o fato de que uma intrus4o pode estar em 
andamento e para que o pessoal fique alerta. Para que a notifica¢ao seja eficaz, o numero exclusivo de 
relat6rio deve ser distribuido em toda a empresa. 


4-7 As areas sigilosas devem estar seguras 


Politica: | Um guarda de seguranga examinara 0 acesso as areas sigilosas ou seguras e deve 
exigir duas formas de autenticagao. 


Explicacao/Observacées: Uma forma aceitavel de autenticacgao usa um sistema eletr6nico 
digital que requer que 0 empregado passe o seu cracha e digite um cédigo de acesso. O melhor méto- 
do para dar segurang¢a as areas sigilosas é colocar um guarda da seguran¢a que observa toda a entrada 
de acesso controlado. Nas organizagdes em que isso fica muito caro, duas formas de autenticacgao 
devem ser usadas para validar a identidade. Dependendo do risco e do custo, um cartao de acesso com 
um sistema biométrico é recomendado. 


4-8 Centrais de rede e telefonia 


Politica: Os gabinetes, armarios ou salas que contém cabeamento de rede, fiacAo de telefone 
ou pontos de acesso de rede devem estar sempre seguros. 
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Explicacao/Observacoes: Apenas o pessoal autorizado tera permissdao de acesso aos ga- 
binetes, salas ou armarios de telefones. Todo o pessoal da manutengao externa ou o pessoal do fabri- 
cante deve ser identificado de forma positiva usando os procedimentos publicados pelo departamento 
responsavel pela seguranga das informag¢oes. O acesso as linhas telef6nicas, aos hubs de rede, chaves, 
PBX, bridges ou outro equipamento relacionado pode ser usado por um atacante para comprometer a 
seguran¢a dos computadores e da rede. 


4-9 Caixas de correio entre empresas 


Politica: As caixas de correio entre empresas nao devem estar localizadas nas areas acessiveis 
ao publico. 

Explicacao/Observacodes: Os espicdes industriais ou os intrusos de computador que tém aces- 
so aos pontos de coleta de correspondéncia entre as empresas podem facilmente enviar cartas de autori- 
zacao ou formularios internos falsos que autorizam o pessoal a liberar as informacg6des Confidenciais ou 
a executar uma a¢ao que auxilie 0 atacante. Além disso, 0 atacante pode enviar um disquete ou midia 
eletr6nica com instrug6es para a instalagao de uma atualizacgao de software ou pode abrir um arquivo 
que tenha comandos de macro incorporados, que servem aos objetivos do intruso. Naturalmente, quem 
recebe sup6e que toda solicitagao enviada pelo correio entre empresas seja auténtica. 


4-10 O quadro de avisos da empresa 


Politica: | Para beneficio dos funcionarios da empresa, os quadros de aviso nao devem estar 
localizados nas dependéncias as quais o publico tenha acesso. 


Explicacao/Observacoes: |Muitas empresas tém quadros de aviso nos quais as informa- 
¢des particulares da empresa ou do pessoal sAo0 publicadas para que todos possam ler. Os avisos do 
empregados, as listas de empregados, os memorandos internos, os numeros de contato residencial 
dos empregados relacionados nos antincios e outras informagdes semelhantes freqiientemente sao 
colocadas no quadro. 


Os quadros de avisos podem estar localizados pré6ximo aos refeito6rios da empresa ou perto das 
areas de fumantes ou de descanso as quais os visitantes tém livre acesso. Esse tipo de informagao nao 
deve ser disponibilizado para os visitantes ou o ptblico. 


4-11 Entrada no centro de computadores 


Politica: A sala de computadores ou o centro de dados devem estar sempre trancados e 0 pes- 
soal deve autenticar a sua identidade antes de entrar. 


Explicacao/Observacoes: <A seguranga corporativa deve levar em conta 0 emprego de um 


cracha eletrénico ou um leitor de cartéo de acesso para que todas as entradas possam ser registradas 
e auditadas eletronicamente. 


4-12 Contas de clientes com provedores de servicos 


Politica: _O pessoal da empresa que fez pedidos de servicos para fornecedores de servi¢os cri- 
ticos para a empresa deve configurar uma senha de conta para evitar que as pessoas nao autorizadas 
fagam pedidos em nome da empresa. 
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Explicacao/Observacoes: As empresas de servicos publicos e muitos outros fornecedores 
permitem que os clientes configurem uma senha sob pedido; a empresa deve estabelecer as senhas 
com todos os fabricantes que fornecem servi¢os importantes. Essa politica é particularmente neces- 
sdria para as telecomunicacoes e os servicos da Internet. Como todos os servigos de tempo critico 
podem ser afetados, uma senha secreta é necessaria para verificar se o interlocutor esta autorizado a 
fazer esses pedidos. Observe também que nao devem ser usados identificadores, tais como o nimero 
do seguro social, o nimero de identificagao de contribuinte na Receita Federal, o nome de solteira da 
mae ou outros identificadores semelhantes. 


Um engenheiro social pode, por exemplo, ligar para a empresa de telefonia e fazer pedidos para 
a inclusao de recursos, tais como o encaminhamento de chamadas para linhas de modem por disca- 
gem, ou pode fazer uma solicitagaéo ao provedor de servicos da Internet para mudar as informaco6es 
de conversao para fornecer um endereco IP falso quando os usuarios executarem uma pesquisa de 
nome de host. 


4-1 3 Pessoal de contato no departamento 


Politica: A sua empresa pode instituir um programa no qual cada departamento ou grupo de 
trabalho designa a um empregado a responsabilidade de agir como um ponto de contato para que todo 
O pessoal possa facilmente verificar a identidade das pessoas desconhecidas que alegam ser daquele 
departamento. Por exemplo, o help desk pode entrar em contato com essa pessoa para verificar a 
identidade de um empregado que esta solicitando suporte. 


Explicacao/Observacodes: — Este método de verificagao da identidade reduz o conjunto 
de empregados que estao autorizados a certificar os empregados dentro de seus departamentos 
quando solicitam suporte tal como a redefinigao de senhas ou outras quest6es relacionadas com 
contas. 


Em parte, os ataques da engenharia social s4o bem-sucedidos porque o pessoal do suporte 
técnico sofre pressdes de tempo e ndo verifica a identidade dos solicitantes. Em geral, a equipe 
de suporte nao pode reconhecer pessoalmente todo o pessoal autorizado devido ao nimero de 
empregados das organizac6es maiores. Ter um empregado responsavel pela identificagéo em cada 
departamento limita o numero de empregados que a equipe de suporte técnica precisa conhecer 
pessoalmente para fins de verificacao. 


4-14 Senhas de cliente 


Politica: Os representantes do servico ao cliente nado devem poder recuperar as senhas de conta 
dos clientes. 


Explicacao/Observacoes: Os engenheiros sociais freqiientemente ligam para os departa- 
mentos de servico ao cliente e, com algum pretexto, tentam obter as informa¢oes de autentica¢ao de 
um cliente, tal como a senha ou o nimero do seguro social. Com essas informag6es, o engenheiro 
social pode ligar para outro representante do servico, fingir que é 0 cliente e obter as informagées ou 
fazer pedidos fraudulentos. 


Para evitar que essas tentativas sejam bem-sucedidas, 0 software do servico ao cliente deve ser 
criado para que Os representantes s6 possam digitar as informacoées de autenticacgado fornecidas pelo 
interlocutor e recebam uma resposta do sistema indicando se a senha esta ou nAo correta. 
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4-1 5 Teste de vulnerabilidade 


Politica: A notificagao de que a empresa esta usando taticas para testar as vulnerabilidades 
de seguranca é necessaria durante o treinamento de conscientizagaéo da seguran¢a e orientagao dos 
empregados. 


Explicacao/Observacoes: Sem a notificacdo do teste de penetragao da engenharia social, o 
pessoal da empresa pode sofrer constrangimentos, pode ficar com raiva ou ter outro trauma emocional 
com 0 uso das taticas simuladas usadas contra eles por outros empregados ou contratados. Avisando 
os funcionarios durante o processo de orientagao de que eles podem estar sujeitos a esse teste vocé 
evita tal conflito. 


4-16 Exibicao das informacoes Confidenciais da empresa 


Politica: As informagdes da empresa que nao foram criadas para a liberacdo externa nao de- 
vem ser exibidas em nenhuma das 4reas acessiveis do publico. 


Explicacao/Observacoes: Além das informacdes Confidenciais de produto ou procedimen- 
to, as informa¢oes internas de contato, tais como as listas internas de telefones ou empregados, ou as 
listagens do prédio que contém uma lista do pessoal da geréncia de cada departamento da empresa 
também devem ser mantidas fora da visdo de todos. 


4-1 7 O treinamento de conscientizacao em seguranca 


Politica: | Todas as pessoas empregadas pela empresa devem concluir um curso de treina- 
mento em conscientizacao da seguranca. Além disso, cada funcionario deve fazer um curso de 
atualizacgao sobre conscientizacao de seguranga em intervalos regulares, os quais nao podem exce- 
der 12 meses, conforme requisito do departamento que tem a responsabilidade do treinamento em 
seguranga. 


Explicacao/Observacoes: Muitas organizacdes ignoram o treinamento de conscientizacgao 
em seguranca. De acordo com a Pesquisa da Seguranca das Informagoes Globais de 2001, apenas 
30% das organizacgoes pesquisadas gastam dinheiro em treinamento de conscientizacgao para a sua 
comunidade de usuarios. O treinamento em conscientizagao é um requisito essencial para diminuir as 
quebras de seguran¢a bem-sucedidas que utilizam técnicas da engenharia social. 


4-1 8 Curso de treinamento em segurang¢a para o acesso 
ao computador 


Politica: O pessoal deve participar de um curso de informagoées de seguranga e conclui-lo antes 
de ter acesso a qualquer sistema de computador da empresa. 


Explicacao/Observacoes: Os engenheiros sociais com freqiiéncia visam aos empregados 
novos, sabendo que, como um grupo em geral, eles sA0 as pessoas com menos chances de estar cien- 
tes das politicas de seguranca da empresa e dos procedimentos adequados para determinar a classifi- 
cacao e o tratamento das informacoes sigilosas. 


O treinamento deve incluir uma oportunidade para que os empregados fagam perguntas sobre as 
politicas de segurancga. Apés o treinamento, o dono da conta deve assinar um documento reconhecen- 
do a sua compreensao das politicas de seguranc¢a e a sua concordancia em segui-las. 
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4-1 9 O cracha do empregado deve ser codificado com cores 


Politica: Os crachas de identificagaéo devem ser codificados com cores para indicar se o porta- 
dor é um empregado, contratado, temporario, fornecedor, consultor, visitante ou estagiario. 


Explicacgao/Observacoées: A cor do cracha é um modo excelente de determinar o status de 
uma pessoa a distancia. Uma alternativa seria usar letras grandes para indicar o status do portador, 
mas 0 uso de um esquema de cédigo de cores é inconfundivel e mais facil de ser visto. 


Uma tatica comum da engenharia social para obter o acesso fisico a um prédio é vestir-se como 
um entregador ou técnico. Uma vez dentro da instalagao, 0 atacante faz-se passar por outro emprega- 
do ou mente sobre o seu status para obter a cooperacao dos demais. A finalidade desta politica é evitar 
que as pessoas entrem no prédio legitimamente e, em seguida, entrem nas dreas as quais nao deveriam 
ter acesso. Por exemplo, uma pessoa que entra na instalagéo como um técnico da empresa de telefonia 
nao poderia se fazer passar por um empregado. A cor do cracha o denunciaria. 


POLITICAS DA TECNOLOGIA DA INFORMAGAO 


O departamento de tecnologia da informacao de qualquer empresa deve ter um conjunto especial 
de politicas que o ajude a proteger os ativos de informacoes da organizacao. Para refletir a estrutura 
tipica das operacoes de TI de uma organizacao, dividi as politicas de TI em Geral, Help Desk, Admi- 
nistragao de Computadores e Operacdes de Computadores. 


Geral 
5-1 Informacoes de contato dos funcionarios do departamento de TI 


Politica: Os nimeros de telefone e os enderecos de correio eletrénico dos funcionarios do de- 
partamento de TI nao devem ser divulgados para nenhuma pessoa que nao tenha necessidade dessas 
informacoes. 


Explicacao/Observacoes: A finalidade desta politica é evitar que essas informacgdes sejam 
usadas pelos engenheiros sociais. Ao divulgar apenas um numero geral de contato ou endere¢o de cor- 
reio eletr6nico, as pessoas de fora da empresa ficam impedidas de entrar diretamente em contato com 
o pessoal de TI. Os enderecos de correio eletr6nicos dos contatos técnicos e administrativos do site s6 
devem consistir em nomes genéricos, tais como admin@companyname.com; os numeros de telefone 
publicados devem conectar-se a uma caixa postal departamental, nao aos funcionarios individuais. 


Quando as informac¢o6es para contato direto estao disponiveis, um intruso pode acessar facilmente 
os funcionarios especificos de TI e engana-los para que eles fornegam informagdes que podem ser 
usadas em um ataque, ou para fazerem-se passar pelos empregados de TI usando seus nomes e suas 
informagoes de contato. 


5-2 Solicitagoes de suporte tecnico 


Politica: Todas as solicitagdes de suporte técnico devem ser enviadas para 0 grupo que trata 
de tais solicitag6es. 


Explicacao/Observacoes: Os engenheiros sociais podem tentar visar 0 pessoal de TI que 
nao trata normalmente das questOes de suporte técnico e que talvez nao esteja a par dos procedimen- 
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tos de seguranga adequados ao lidar com tais solicitagdes. Da mesma forma, a equipe de TI deve ser 
treinada para negar essas solicitagdes e enviar o interlocutor para 0 grupo que tem a responsabilidade 
de fornecer 0 suporte. 


Help Desk 
6-1 Procedimentos de acesso remoto 


Politica: O pessoal do help desk nao deve divulgar detalhes ou instrug6es relativos ao acesso 
remoto, entre elas os pontos de acesso externos da rede ou os numeros de discagem, a menos que 0 
solicitante lenha sido: 


¢ Verificado como autorizado a receber as informacgées Internas e 


¢ Verificado como autorizado para se conectar a rede corporativa como um usuario externo. A 
menos que seja pessoalmente conhecido, o solicitante deve ser identificado positivamente de 
acordo com os Procedimentos de Verificagao e Autorizagao destacados no inicio deste capi- 
tulo. 


Explicacao/Observacoes:  O help desk corporativo quase sempre é 0 alvo principal do 
engenheiro social, seja porque a natureza do seu trabalho é auxiliar os usuarios nas questoes rela- 
cionadas com computadores, seja porque eles geralmente tém privilégios de sistema altos. Todo o 
pessoal do help desk deve ser treinado para agir como um firewall humano para evitar a divulga¢ao 
nao autorizada das informac6es que ajudarao qualquer pessoa nao autorizada a ter acesso aos recursos 
da empresa. A regra simples é nunca divulgar os procedimentos de acesso remoto a ninguém que nao 
tenha uma verificagao positiva da identidade. 


6-2 Redefinindo as senhas 


Politica: A senha para uma conta de usuario s6 pode ser redefinida sob solicitagao do dono da 
conta. 


Explicacao/Observacoes: OO truque mais usado pelos engenheiros sociais é fazer com 
que a senha da conta de outra pessoa seja redefinida ou alterada. O atacante faz-se passar pelo em- 
pregado usando o pretexto de que sua senha foi perdida ou esquecida. Em um esforgo para reduzir 
O sucesso desse tipo de ataque, um empregado de TI que recebe uma solicitagéo de mudan¢a de 
senha deve ligar de volta para o empregado antes de fazer qualquer coisa. Essa ligagéo nao deve ser 
feita para um numero de telefone fornecido pelo solicitante, mas para um nimero obtido na lista de 
telefones de empregados. Consulte os Procedimentos de Verificagéo e Autorizagao para saber mais 
sobre esse procedimento. 


6-3 Alterando os privilegios de acesso 


Politica: Todas as solicitagdes para aumentar os privilégios ou direitos de acesso de um usua- 
rio devem ser aprovadas por escrito pelo gerente do dono da conta. Quando a alteracao for feita, uma 
confirmacgao deve ser enviada para o gerente do solicitando pelo correio interno da empresa. Além 
disso, tais solicitagdes devem ser verificadas como auténticas de acordo com os Procedimentos de 
Verificagao e Autorizacao. 
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Explicacao/Observacoes: Depois que um intruso de computador comprometeu uma 
conta de usuario padrao, a proxima etapa é aumentar seus privilégios para que ele tenha o controle 
completo do sistema comprometido. Um atacante que tem conhecimento do processo de autorizacao 
pode forjar uma solicitagao autorizada quando forem usados correio eletr6nico, fax ou telefone para 
transmiti-la. Por exemplo, ele pode ligar para 0 suporte técnico ou o help desk e tentar convencer um 
técnico a conceder direitos de acesso adicionais para a conta comprometida. 


6-4 Nova autorizacao de conta 


Politica: Quando for preciso criar uma conta nova para um empregado, contratado ou 
outra pessoa autorizada, essa solicitagéo deve ser feita por escrito e assinada pelo gerente do 
empregado, ou enviada por correio eletrénico assinado digitalmente. Essas solicitagdes também 
devem ser verificadas pelo envio de uma confirmagaéo de solicitagao por meio do correio interno 
da empresa. 


Explicacao/Observacodes: Como as senhas e outras informac6es Uteis para entrar nos 
sistemas de computadores sao os alvos de prioridade mais alta para os ladrdes de informacées, 
medidas especiais precisam ser tomadas. A intencdo desta politica é evitar que os intrusos fagam-se 
passar por pessoal autorizado para forjar solicitagdes de novas contas. Assim sendo, todas essas 
solicitagdes devem ser verificadas positivamente usando os Procedimentos de Verificagaéo e Auto- 
rizacao. 


6-5 Entrega de senhas novas 


Politica: As senhas novas devem ser tratadas como informag6des Confidenciais da empresa 
e devem ser entregues por métodos seguros, seja pessoalmente ou por um servico de entrega com 
confirmagao, tal como correio registrado ou por UPS ou FedEx. Consulte as politicas de distribuicgao 
das informa¢des Confidenciais. 


Explicacao/Observacoes: O correio interno da empresa também pode ser usado, mas 
recomenda-se que as senhas sejam enviadas em envelopes seguros que escondam o conteido. Um 
método sugerido é estabelecer uma pessoa que cuide dos computadores em cada departamento, a 
qual tenha a responsabilidade de lidar com a distribui¢ao dos detalhes da conta nova e a confir- 
mac¢aéo da identidade do pessoal que perde ou se esquece de suas senhas. Nessas circunstancias. 
O pessoal de suporte sempre estaria trabalhando com um grupo menor de empregados que seria 
reconhecido pessoalmente. 


6-6 Desativando uma conta 


Politica: Antes de desativar a conta de um usuario vocé deve confirmar se a solicitacao foi feita 
pelo pessoal autorizado. 


Explicacao/Observacoées: A intencao desta politica e evitar que um atacante crie uma 
solicitagao para desativar uma conta e, em seguida, ligue para solucionar os problemas da incapaci- 
dade do usuario em acessar 0 sistema de computadores. Quando o engenheiro social liga fazendo-se 
passar por um técnico com conhecimento da inabilidade do usuario em fazer o login, a vitima quase 
sempre concorda com uma solicitagao para revelar a sua senha durante o processo de solug¢ao de 
problemas. 
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6-7 Desativando as portas ou os dispositivos de rede 


Politica: _Nenhum empregado deve desativar nenhum dispositivo ou porta de rede para pessoal 
nao verificado do suporte técnico. 


Explicacao/Observacoes: A intencao desta politica é evitar que um atacante crie uma soli- 
citagdo para desativar uma porta de rede e, em seguida, ligue para o funcionario para solucionar a sua 
incapacidade de acessar a rede. 


Quando o engenheiro social que se faz passar por um técnico liga e demonstra ja ter conhecimento 
do problema de rede do usuario, a vitima quase sempre concorda com uma solicita¢ao de revelar a sua 
senha durante 0 processo de solucao do problema. 


6-8 Divulgacao dos procedimentos para o acesso sem fio 


Politica: | Nenhum funcionario deve divulgar os procedimentos para acessar os sistemas da em- 
presa nas redes sem fio para qualquer pessoa que nao esteja autorizada a se conectar com a rede sem fio. 


Explicacao/Observacoes: Sempre confirme se o solicitante € uma pessoa autorizada a se 
conectar a rede corporativa como usuario externo antes de liberar as informagées de acesso sem fio. 
Consulte os Procedimentos de Verificagao e Autorizacao. 


6-9 Nome dos usuarios com problemas 


Politica: Os nomes dos empregados que relataram problemas relacionados com computadores 
nao devem ser revelados fora do departamento de tecnologia da informagao. 


Explicacao/Observacédes: Em um ataque tipico, um engenheiro social liga para o help desk 
e solicita os nomes dos funcionarios que relataram problemas recentes com 0 computador. O interlo- 
cutor pode se fazer passar por um funcionario, fornecedor ou um empregado da empresa de telefonia. 
Depois de obter os nomes dessas pessoas, 0 engenheiro social faz-se passar por uma pessoa do help 
desk ou suporte técnico, entra em contato com 0 empregado e diz que esta ligando para solucionar o 
problema. Durante a ligacdo, 0 atacante faz a vitima fornecer as informagdes desejadas ou executar 
uma acao que facilita o objetivo do atacante. 


6-10 Iniciando comandos de execucao ou executando programas 


Politica: O pessoal empregado no departamento de TI que tem contas privilegiadas nao deve 
executar nenhum comando ou programa de aplicativo sob solicitagaéo de qualquer pessoa que eles nao 
conhegam pessoalmente. 


Explicacao/Observacoes: Um método comum usado pelos atacantes para instalar um progra- 
ma de Cavalo de Trdia ou outro software malicioso é mudar o nome de um programa existente e, em se- 
guida, ligar para o help desk reclamando que uma mensagem de erro aparece sempre que uma tentativa 
é feita para executar o programa. O atacante convence o técnico do help desk a executar 0 programa ele 
mesmo. Quando o técnico atende ao pedido, o software malicioso herda os privilégios do usuario que 
executa 0 programa e executa uma tarefa, a qual da ao atacante os mesmos privilégios sobre 0 computa- 
dor do empregado do help desk. Isso permite que 0 atacante assuma o controle do sistema da empresa. 


Esta politica visa combater essa tatica ao exigir que o pessoal do suporte verifique o status de 
emprego antes de executar qualquer programa sob solicitagao de um interlocutor. 
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Administragao de computadores 
7-1 Alterando os direitos de acesso globais 


Politica: Uma solicitagdo para alterar os direitos de acesso globais associados a um perfil ele- 
tr6nico de cargo deve ser aprovada pelo grupo que tem a responsabilidade de gerenciar os direitos de 
acesso a rede corporativa. 


Explicacao/Observacoes: O pessoal autorizado analisara cada uma dessas solicitag6es para 
determinar se a alteracdo pode criar uma ameaga a segurang¢a das informacoes. Nesse caso, 0 empre- 
gado responsavel cuidara dos problemas pertinentes com o solicitante para chegar conjuntamente a 
uma decisao sobre as alteracdes a serem feitas. 


7-2 Solicitagoes de acesso remoto 


Politica: | O acesso remoto ao computador s6 sera fornecido para o pessoal que demonstrou a 
necessidade de acessar os sistemas corporativos da empresa em localizacoes fora dela. A solicitagao 
deve ser feita pelo gerente do empregado e verificada conforme descreve a secao Procedimentos de 
Verificagao e Autorizacao. 


Explicacgao/Observacoées: O reconhecimento da necessidade do acesso a rede corporativa 
fora dela por pessoal autorizado e a limitacgao de tal acesso apenas ao pessoal que precisa dele pode 
diminuir bastante o risco e 0 gerenciamento dos usuarios de acesso remoto. Quanto menor for o 
numero de pessoas que tém privilégios de discagem externa, menor o numero de alvos em potencial 
para um atacante. Nunca se esqueca de que o atacante também pode visar aos usuarios remotos 
com a intencao de seqiiestrar sua conex4o com a rede corporativa ou mascarando-as durante uma 
chamada falsa. 


7-3 Redefinindo as senhas das contas com privilégios 


Politica: A solicitagéo para redefinir uma senha de uma conta com privilégios deve ser apro- 
vada pelo gerente ou administrador do sistema responsdvel pelo computador no qual esta a conta. 
A nova senha deve ser enviada por meio de mensagem de correio eletrOnico interno da empresa ou 
pessoalmente. 


Explicacao/Observacoes: As contas com privilégios tém acesso a todos os recursos e 
arquivos que estao armazenados no sistema de computadores. Naturalmente, elas merecem a maior 
prote¢ao possivel. 


7-4 Acesso remoto do pessoal externo de suporte 


Politica: | Nenhum funciondrio externo de suporte (tal como o pessoal do fabricante de har- 
dware ou software) pode ter informag6es de acesso remoto ou permissao para acessar um sistema de 
computadores da empresa ou dispositivos relacionados sem uma confirmagéo da identidade e uma 
autoriza¢ao para executar tais servicos. Se o fabricante precisar de acesso privilegiado para fornecer 
servicos de suporte, a senha da conta usada por ele deve ser imediatamente alterada aps os servicos 
estarem concluidos. 


Explicacao/Observacodes: Os atacantes podem se fazer passar por fornecedores para terem 
acesso a rede de computadores ou de telecomunicagées da empresa. Assim sendo, é essencial que a 
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identidade do fornecedor seja verificada, além de sua autoriza¢ao para executar qualquer trabalho que 
seja feito no sistema. Além disso, as portas do sistema devem ser fechadas apos o seu trabalho ser 
realizado. Isso é feito alterando-se a senha de conta usada pelo fornecedor. 


Nenhum fornecedor deve poder escolher sua prépria senha para uma conta, mesmo que seja 
temporariamente. Alguns fabricantes usam uma senha igual ou semelhante nos sistemas de todos os 
clientes. Por exemplo, uma empresa de servicos de rede configura as contas privilegiadas em todos 
Os sistemas de seus clientes com a mesma senha e, para aumentar 0 dano, com 0 acesso externo via 
Telnet. 


7-5 Autenticagao segura para o acesso remoto aos sistemas 
corporativos 


Politica: Todos os pontos de conex4o da rede corporativa de localizagdes remotas devem estar 
protegidos com o uso dos dispositivos de autenticagao segura, tais como as senhas dinamicas (tecno- 
logias one-time password) ou a biométrica. 


Explicacao/Observacoes: Muitas empresas dependem das senhas estaticas como o Unico 
meio de autentica¢ao dos usuarios remotos. Essa pratica e perigosa porque ela é insegura: os intrusos 
dos computadores visam qualquer ponto de acesso remoto que possa ser 0 elo fraco na rede da vitima. 
Lembre-se de que vocé nunca sabe quando outra pessoa conhece a sua senha. 


Da mesma forma, todos os pontos de acesso remotos devem estar protegidos com autenticacao 
segura, tal como tokens baseados em tempo, cart6es inteligentes ou dispositivos de biométrica, para 
que as senhas interceptadas nao tenham nenhum valor para um atacante. 


Quando a autentica¢gao baseada nas senhas dinamicas n4o é pratica, os usuarios de computadores 
devem seguir religiosamente a politica para escolher senhas dificeis de serem adivinhadas. 


7-6 Configuragao do sistema operacional 


Politica: Os administradores de sistema devem sempre que possivel garantir que os sistemas 
operacionais estejam configurados para serem consistentes com todas as politicas e os procedimentos 
de seguranca adequados. 


Explicacao/Observacoes: A criacao e distribuicao das politicas de seguranca é uma etapa 
fundamental na direcao da reducao do risco, mas, na maioria dos casos, o cumprimento das politicas 
é deixado para cada empregado. Existem, porém, algumas politicas relacionadas com computadores 
que podem ser obrigat6rias por meio das definigdes do sistema operacional, tails como o tamanho 
exigido para as senhas. A automacdo das politicas de seguran¢a pela configuracao dos parametros do 
sistema operacional tira efetivamente a decisao das maos do elemento humano e aumenta a segurang¢a 
geral da organizacao. 


7-7 Vencimento obrigatorio 


Politica: Todas as contas de computadores devem ser definidas para expirar apds um ano. 


Explicacgao/Observacoées: A intencgao desta politica é eliminar a existéncia das contas de 
computadores que nao estao mais sendo usadas, uma vez que Os invasores em geral visam as contas 
inativas. O processo garante o desativamento automatico de todas as contas de computadores que 
foram mantidas inadvertidamente e que pertencem a ex-empregados ou ex-contratados. 


Capitulo 16 Recomendacoes de Politicas de Seguranca das Informacoes Corporativas 235 


A critério da geréncia, vocé pode exigir que os empregados fagam um curso de atualizacgao em 
seguran¢a na hora da renova¢ao ou que examinem as politicas de seguranca das informacoes e assi- 
nem um documento dizendo que concordam em segui-las. 


7-8 Enderecos de correio eletronico genericos 


Politica: O departamento de tecnologia da informagao deve configurar um enderec¢o de correio 
eletr6nico genérico para cada departamento da organizacgaéo que se comunica com o publico. 


Explicacao/Observacoes: O endereco de correio eletrénico genérico pode ser divulgado 
para o publico pela recepcionista ao telefone ou pode ser publicado no site Web da empresa. Caso 
contrario, cada empregado s6 deve divulgar 0 seu enderecgo de correio eletrénico pessoal para quem 
tenha uma necessidade real de conhecé-lo. 


Durante a primeira fase de um ataque da engenharia social, 0 atacante quase sempre tenta obter os 
numeros de telefone, os nomes e os cargos dos empregados. Na maioria dos casos, essas informagées 
estao disponiveis no site Web da empresa ou é so pedi-las. A criagao de caixas de correio de voz e/ou 
enderecos de correio eletr6nico genéricos dificulta a associagao dos nomes dos empregados a deter- 
minados departamentos ou responsabilidades. 


7-9 Informacoes de contato para registros de dominio 


Politica: Ao serem registradas para obtencgao de endereco na Internet ou nomes de hosts, as 
informag6es de contato do pessoal administrativo, técnico ou outros nao devem identificar nenhum 
funcionario pelo nome. Em vez disso, vocé deve relacionar um enderego de correio eletrénico gené- 
rico e o numero de telefone principal da empresa. 


Explicacao/Observacoes: A finalidade desta politica é evitar que as informag6es de contato 
sejam usadas por um intruso. Quando os nomes e os numeros de telefone dos individuos sao forne- 
cidos, um intruso pode usar essas informag6es para entrar em contato com eles e tentar fazer com 
que revelem as informagoées do sistema ou executem uma acao que facilite 0 objetivo do atacante. 
O engenheiro social também pode se fazer passar por uma pessoa relacionada para tentar enganar 
os outros funcionarios da empresa. 


Em vez de um endereco de correio eletr6nico de determinado empregado, as informacoes de 
contato devem ter a forma de administrador@empresa.com. O pessoal do departamento de teleco- 
municacoes pode estabelecer uma caixa de correio por voz genérica para os contatos administrativos 
ou técnicos, de modo a limitar a divulgacao das informagdes que poderiam ser uteis em um ataque 
da engenharia social. 


7-10 Instalagao das atualizacoes de seguranc¢a e do sistema 
operacional 


Politica: Todas as corregdes de seguranga do sistema operacional e dos aplicativos devem ser 
instaladas assim que se tornarem disponiveis. Se esta politica entrar em conflito com a operacao dos 
sistemas de producgao de miss4o critica, tais atualizagdes devem ser executadas assim que possivel. 


Explicacao/Observacdes: Quando uma vulnerabilidade é identificada, 0 fabricante do sof- 
tware deve ser imediatamente contatado para determinar se ha um patch ou uma corre¢ao temporaria 
para resolver a vulnerabilidade. Um sistema de computador sem patches representa uma das maiores 
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ameacas a seguranca da empresa. Quando os administradores de sistema adiam a aplicacao das corre- 
cOes necessdarias, a janela de exposicao fica muita aberta e qualquer atacante pode invadi-la. 


Dezenas de vulnerabilidades de seguranga sao identificadas e publicadas todas as semanas na 
Internet. Mesmo que a equipe de tecnologia da informagao esteja vigilante em seus esforgos de 
aplicar todas as correcdes de seguran¢a assim que possivel, e apesar de esses sistemas estarem atras 
do firewall da empresa, a rede corporativa sempre estara correndo o risco de sofrer um incidente 
de seguranca. E importante conhecer as vulnerabilidades de seguranga publicadas e identificadas 
no sistema operacional ou em qualquer programa de aplicativo usado durante a realizacao dos 
negocios. 


7-11 Informacoes de contato nos sites Web 


Politica: |O site Web externo da empresa nao deve revelar nenhum detalhe da estrutura corpo- 
rativa, nem deve identificar os empregados pelo nome. 


Explicacao/Observacoes: As informacoées da estrutura corporativa, tais como os graficos 
organizacionais, os quadros de hierarquia, as listas de empregados ou departamentos, a estrutura 
hierarquica, os nomes, as posi¢des, Os numeros internos para contato, os nimeros dos empregados ou 
informag6des semelhantes que sejam usadas para processos internos nao devem ser disponibilizados 
em sites Web que podem ser acessados pelo publico. 


Os intrusos de computadores quase sempre obtém informa¢Oes muito Uteis no site Web de um 
alvo. Eles usam essas informa¢gOes para se parecer com um empregado com conhecimentos ao usar 
um pretexto ou um truque. O engenheiro social tem mais chances de estabelecer credibilidade com 
essas informacg6es a sua disposicao. Além disso, ele pode analisar essas informag6es para descobrir 
Os provaveis alvos que tém acesso a informacoes valiosas, confidenciais ou criticas. 


7-12 Criagcao de contas com privilegios 


Politica: Nenhuma conta com privilégio deve ser criada e nenhum sistema de privilégios deve 
ser concedido a todas as contas, a menos que isso seja autorizado pelo administrador ou gerente do 
sistema. 


Explicacao/Observacoées: Os intrusos de computadores com freqiiéncia fazem-se pas- 
sar por fornecedores de hardware ou software e tentam fazer com que o pessoal de tecnologia de 
informag6es crie contas nao autorizadas. A intencao desta politica é bloquear esses ataques, esta- 
belecendo maior controle sobre a criagao das contas privilegiadas. O gerente ou administrador do 
sistema de computadores deve aprovar todas as solicitagdes de criagaéo de uma conta com privilégios 
elevados. 


7-1 3 Contas de convidados 


Politica: As contas de convidados de todos os sistemas de computadores ou sistemas de dis- 
positivos em rede relacionados devem ser desativadas ou removidas, exceto para um servidor de FTP 
(file transfer protocol) aprovado pela geréncia com 0 acesso an6énimo ativado. 


Explicacao/Observacoes: A intencdo da conta de convidado é fornecer 0 acesso tempora- 
rio aS pessoas que nao precisam ter sua prépria conta. Varios sistemas operacionais estao instalados 
como default com uma conta de convidado ativada. Essas contas sempre devem ser desativadas por- 
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que a sua existéncia viola o principio da responsabilidade do usuario. A TI deve poder fazer a audito- 
ria de toda a atividade relacionada com computadores e relaciona-la com um usuario especifico. 


Os engenheiros sociais podem aproveitar essas contas de convidados para ter acesso nao autori- 
zado, seja diretamente, seja enganando o pessoal autorizado para usar uma conta de convidado. 


7-14 Criptografia dos dados de backup fora da empresa 


Politica: Todos os dados da empresa que estaéo armazenados fora dela devem ser criptografa- 
dos para evitar 0 acesso nao autorizado. 


Explicacao/Observacoes: <A equipe de operacoes deve garantir que todos os dados possam 
ser recuperados no caso de as informac6es precisarem ser restauradas. Isso exige testes regulares de 
decriptografia de uma amostragem aleat6éria de arquivos criptografados para ter certeza de que os 
dados podem ser recuperados. Além disso, as chaves usadas para criptografar os dados devem ser 
entregues a um gerente de confianga para 0 caso de se perderem ou serem inutilizadas. 


7-1 5 Acesso de visitante as conexoes de rede 


Politica: Todos os pontos de acesso Ethernet publicos devem estar em uma rede segmentada 
para evitar 0 acesso nao autorizado a rede interna. 


Explicacao/Observacoes: A intengao desta politica é evitar que as pessoas de fora se 
conectem a rede interna quando estiverem nas instalagdes da empresa. Os conectores Ethernet insta- 
lados nas salas de reuni6es, no refeit6rio, nos centros de treinamento ou em outras areas que podem 
ser acessadas pelos visitantes devem ser filtrados para evitar 0 acesso nao autorizado de visitantes aos 
sistemas corporativos de computadores. 


A rede ou o administrador de segurang¢a podem optar por configurar uma LAN virtual em um 
comutador, se houver um, para controlar 0 acesso aquelas localizac¢oes. 


7-16 Modems de discagem 


Politica: Os modems usados para as ligacdes de discagem devem ser definidos para responder 
s6 depois do quarto toque. 


Explicacao/Observacoes: Como édescrito no filme Jogos de Guerra, os hackers usam uma 
técnica conhecida como discagem de guerra para localizar as linhas telefOnicas que tenham modems 
conectados a elas. O processo comecga com 0 atacante identificando os prefixos telefOnicos usados 
na area na qual a empresa-alvo esta localizada. Um programa de rastreamento é usado para tentar 
cada numero de telefone com aqueles prefixos e localizar aquele que responde com um modem. Para 
agilizar 0 processo, esses programas sao configurados para aguardar um ou dois toques até receber 
uma resposta de modem antes de tentar o proximo nimero. Quando uma empresa define a resposta 
automatica nas linhas de modem com pelo menos quatro toques, os programas de rastreamento nao 
reconhecem a linha como uma linha de modem. 


7-1 7 Software antivirus 


Politica: Cada sistema de computador deve ter vers6es atualizadas do software antivirus ins- 
taladas e ativadas, 
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Explicacao/Observacoes: Nas empresas que nao descarregam automaticamente o soft- 
ware antivirus e os arquivos de definigdes (os programas que reconhecem os padrées comuns ao 
software de virus para reconhecer os virus novos) nos desktops ou nas estagdes de trabalho do usu- 
ario, cada usuario deve assumir a responsabilidade da instalagao e manutencao do software em seus 
proprios sistemas, incluindo todos os sistemas de computadores usados para acessar remotamente a 
rede corporativa. 


Se for vidvel, esse software deve ser definido para a atualizacgao automatica e noturna das as- 
sinaturas de virus. Quando os arquivos de definigdes ou assinatura nao sao descarregados para os 
desktops dos usuarios, estes devem ter a responsabilidade de atualizar os arquivos de definigdes pelo 
menos uma vez por semana. 


Essas medidas aplicam-se a todas as maquinas desktop e laptops usados para acessar os sistemas 
de computadores da empresa, e devem ser seguidas mesmo que 0 computador seja de propriedade da 
empresa ou pessoal. 


7-18 Anexos de mensagens de correio eletronico recebidas 
(requisitos de alta seguranca) 


Politica: Em uma organizac4o com requisitos altos de seguranga, o firewall corporativo deve 
ser configurado para filtrar todos os anexos de correio eletrénico. 


Explicacao/Observacoes: — Esta politica aplica-se apenas as empresas que tém requisitos 
de seguranga altos ou aquelas que nao tém uma necessidade comercial de receber anexos por meio de 
mensagens de correio eletrénico. 


7-19 Autenticagao de software 


Politica: Todo software, correc¢éo ou atualizacéo de software novo, seja em midia ffsica ou 
obtida pela Internet, deve ter sua autenticidade verificada antes da instalacao. Esta politica é parti- 
cularmente relevante para o departamento de TI quando for instalado qualquer software que requer 
privilégios de sistema. 


Explicacao/Observacoes: O software de computador referido nesta politica inclui os com- 
ponentes do sistema operacional, o software de aplicativo, as corregdes emergenciais, os patches ou 
quaisquer atualizagdes de software. Muitos fabricantes de software implementaram métodos pelos 
quais os clientes podem verificar a integridade de uma distribui¢aéo, em geral por meio de uma assi- 
natura digital. Em qualquer caso no qual a integridade nao possa ser verificada, o fabricante deve ser 
consultado para confirmar se o software é auténtico. 


Os atacantes de computadores enviam para uma vitima um software embalado como se o fabri- 
cante 0 tivesse produzido e enviado para a empresa. E essencial que vocé verifique a autenticidade 
de todo software recebido, particularmente se ele nao foi pedido, antes de instala-lo nos sistemas da 
empresa. 


Saiba que um atacante sofisticado pode descobrir que a sua organizagao encomendou o software 
de um fabricante. Com essa informagaéo em m§éos, ele pode cancelar o pedido com o fabricante real 
e pedir o software ele mesmo. Em seguida, o software é modificado para executar alguma funcao 
maliciosa e é enviado ou entregue em sua empresa, no pacote original, com a embalagem adequada. 


se for preciso. Ap6s a instalagao do produto, o atacante tem o controle. 
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7-20 Senha-padrao 


Politica: Todo software de sistema operacional e dispositivo de hardware que tenha uma 
senha definida com um valor-padrao deve ser redefinido de acordo com a politica de senhas da 
empresa. 


Explicacao/Observacoes: Varios sistemas operacionais e dispositivos de computador re- 
lacionados sao enviados com senhas-padrao — ou seja, com a mesma senha ativa em cada unidade 
que é vendida. Um grave erro é nao alterar as senhas-padrao, porque isso significa um risco para a 
empresa. 


As senhas-padrao sao conhecidas de todos e estao disponiveis nos sites Web na Internet. Em um 
ataque, a primeira senha que um intruso tenta é a senha-padrao do fabricante. 


7-21 Bloqueio por tentativas invalidas de acesso 
(seguranca baixa a média) 


Politica: Em uma organizagao com requisitos de seguranga de nivel baixo a médio, sempre que 
um numero especificado de tentativas sucessivas e invalidas de login em determinada conta for feito, 
a conta deve ser bloqueada por um periodo de tempo. 


Explicacao/Observacoes: Todas as estacdes de trabalho e servidores da empresa devem ser 
definidos para limitar o numero de tentativas sucessivas e invalidas de login. Esta politica e necessaria 
para evitar a adivinhacao de senha pela tentativa e erro, pelos ataques aos dicionarios ou pelas tenta- 
tivas de forcga bruta para ter acesso nao autorizado. 


O administrador de sistema deve configurar as definigdes de seguran¢a para bloquear uma 
conta sempre que o limite desejado de tentativas sucessivas e invalidas for atingido. Recomenda- 
mos que uma conta seja bloqueada por pelo menos 30 minutos apos sete tentativas sucessivas e 
invalidas de login. 


7-22 Bloqueio por tentativas invalidas de acesso 
(alta seguran¢a) 


Politica: Em uma organizacgéo com altos requisitos de seguranca, sempre que um numero 
especificado de tentativas invalidas e sucessivas de login em determinada conta for feito, a conta 
deve ser desativada até que seja redefinida pela pessoa do grupo responsavel por fornecer suporte 
de conta. 


Explicacao/Observacdes: Todas as estagdes de trabalho e servidores da empresa devem 
ser definidos para limitar o numero de tentativas sucessivas e invalidas de login. Esta politica é um 
controle necessario para evitar que uma senha seja adivinhada pela tentativa e erro. pelos ataques de 
dicionario ou pelas tentativas de forca bruta de ter acesso nao autorizado. 


O administrador do sistema deve configurar as definigdes de seguranga para bloquear uma conta 
ap0s cinco tentativas invalidas de login. Depois de tal ataque, o dono da conta tera de ligar para o su- 
porte técnico ou para a pessoa do grupo responsavel pelo suporte de conta para ativa-la. Antes de re- 
definir a conta, o responsavel pelo departamento deve confirmar a identidade do dono da conta, de 
acordo com os Procedimentos de Verificacao e Autorizacao. 
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7-23 Alteracao periodica das senhas de conta com privilegios 
administrativos 


Politica: Todos os donos de contas com privilégios administrativos devem alterar suas senhas 
pelo menos a cada 30 dias. 


Explicacao/Observacdes: Dependendo das limitagdes do sistema operacional, o adminis- 
trador de sistemas deve implantar essa politica pela configuragao dos parametros de segurancga no 
software de sistema. 


7-24 Alteragao periodica das senhas de usuario 


Politica: Todos os donos de contas devem alterar suas senhas pelo menos a cada 60 dias. 


Explicacao/Observacdes: Nos sistemas operacionais que fornecem este recurso, 0 admi- 
nistrador de sistemas deve implantar esta politica pela configuracgao dos parametros de seguran¢a no 
software. 


7-25 Configuragao de senha de conta nova 


Politica: As contas novas de computador devem ser estabelecidas com uma senha inicial com 
vencimento prévio, para que o dono da conta tenha de selecionar uma senha nova ao iniciar 0 uso. 


Explicacao/Observacoes: Este requisito garante que apenas o dono da conta tenha conhe- 
cimento de sua senha. 


7-26 Senhas de inicializacao 


Politica: Todos os sistemas de computador devem estar configurados para exigir uma senha 
de inicializacao. 

Explicacao/Observacdes: Os computadores devem estar configurados para solicitar uma 
senha ao serem ligados e antes de o sistema operacional ser inicializado. Isso evita que uma pessoa 
nao autorizada ligue e use 0 computador de outra pessoa. Esta politica aplica-se a todos os computa- 
dores das instalagdes da empresa. 


7-27 Requisitos de senha para as contas privilegiadas 
Politica: Todas as contas com privilégios devem ter uma senha segura com estas caracteristicas: 


e Ela nao pode ser uma palavra encontrada em um diciondrio de qualquer idioma. 


e Ela deve combinar pelo menos uma letra maitscula ou mintscula, um simbolo e um nu- 
meral. 


e Ela deve ter pelo menos 12 caracteres de comprimento. 


e Ela nao pode estar relacionada a empresa ou ao individuo. 


Explicacao/Observacdes: Na maioria dos casos os invasores visam as contas especificas 
que tenham privilégios de sistema. Eventualmente, 0 atacante explora outras vulnerabilidades para ter 
controle completo sobre o sistema. 
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As primeiras senhas que um intruso tenta sdo as palavras simples, mais usadas e encontradas em 
um dicionario. A selegao de senhas seguras melhora a seguranga, reduzindo as chances de que um 
atacante a encontre por tentativa e erro, ataque a dicionario ou ataque de for¢a bruta. 


7-28 Pontos de acesso sem fio 


Politica: Todos os usuarios que podem acessar uma rede sem fio devem usar a tecnologia VPN 
(Virtual Private Network) para proteger a rede corporativa. 


Explicacao/Observacdes: As redes sem fio estéo sendo atacadas por uma nova técnica 
chamada direcdo de guerra. Nessa técnica 0 invasor simplesmente dirige ou caminha com um laptop 
equipado com uma placa 802.11B NIC até que uma rede sem fio seja detectada. 


Muitas empresas empregam as redes sem fio sem ativar o WEP (wireless equivalency protocol), 
o qual é usado para dar seguranga a conexao sem fio por meio do uso da criptografia. Mas mesmo 
quando esta ativada, a versdo atual do WEP (lancada na metade de 2002) nao é efetiva: ela ficou aber- 
ta e varios sites Web dedicam-se a fornecer 0 meio de localizar os sistemas sem fio abertos e entrar 
nos pontos de acesso sem fio ativados para o WEP. 


Da mesma forma, é essencial incluir uma camada de protecao ao redor do protocolo 802.11B 
empregando a tecnologia VPN. 


7-29 Atualizando os arquivos de definicoes do antivirus 


Politica: Cada sistema de computador deve estar programado para atualizar automaticamente 
os arquivos de defini¢cao antivirus e contra o Cavalo de Troia. 


Explicacao/Observagoes: No minimo, tais atualizagdes devem ocorrer pelo menos sema- 
nalmente. Nas empresas nas quais os empregados deixam seus computadores ligados, esses arquivos 
de definicgdes devem ser atualizados todas as noites. O software antivirus nao é efetivo porque ele nao 
é atualizado para detectar todas as novas formas de cédigo malicioso. Como a ameaga de infec¢des 
por virus, worm e Cavalo de Troia aumenta substancialmente quando os arquivos de definigdes nao 
sao atualizados, é essencial que os produtos antivirus ou anticddigo malicioso sejam mantidos atua- 
lizados. 


Operacoes de computadores 
8-1 Inserindo comandos ou executando programas 


Politica: O pessoal que opera o computador nao deve inserir comandos ou executar programas 
sob solicitagaéo de qualquer pessoa que ele nao conhega. Se surgir uma situa¢gao na qual uma Pessoa 
Nao Verificada parecer ter um motivo para fazer tal solicitagao, ela nao deve ser atendida sem antes 
haver aprovacao do gerente. 


Explicacao/Observacoes: Os funcionarios que operam com computador sao alvos conhe- 
cidos dos engenheiros sociais, uma vez que as suas posigdes em geral exigem acesso de conta com 
privilégios e 0 atacante espera que eles tenham menos experiéncia e menos conhecimento sobre os 
procedimentos da empresa do que os outros funcionarios de TI. A intengao desta politica é incluir 
uma verificagaéo apropriada para evitar que os engenheiros sociais enganem 0 pessoal que opera os 
computadores. 
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8-2 Funcionarios com contas com privilegios 


Politica: Os funcionarios que tém contas com privilégios nao devem fornecer assisténcia ou 
informag6es para nenhuma Pessoa Nao Verificada. Em particular esta politica dita que nao se deve 
fornecer ajuda com 0 computador (tal como treinamento sobre 0 uso de aplicativos), acesso a algum 
banco de dados da empresa, download de software nem revelar nomes de pessoas que tenham capa- 
cidade de acesso remoto. 


Explicacao/Observacoes: Os engenheiros sociais quase sempre visam os empregados que 
tém contas com privilégios. A intengao desta politica é orientar a equipe de TI que tem contas com 
privilégios para que ela saiba lidar com as ligagdes que podem representar ataques da engenharia 
social. 


8-3 Informacoes dos sistemas internos 


Politica: A equipe de Operacées de Computador nunca deve divulgar nenhuma informacao re- 
lacionada com os sistemas de computadores da empresa ou dispositivos relacionados sem confirmar 
a identidade do solicitante. 


Explicacao/Observacdes: Os invasores de computadores quase sempre entram em contato 
com os empregados de operagées para obter informacoes valiosas, tais como os procedimentos de 
acesso ao sistema, Os pontos externos de acesso remoto e os nuimeros de telefone de discagem que 
tém valor substancial para eles. 


Nas empresas que tém equipe de suporte técnico ou um help desk, as solicitagdes feitas para a 
equipe de operagdes de computador pedindo informagoes sobre sistemas de computadores ou dispo- 
sitivos relacionados devem ser consideradas incomuns. Toda solicitagaéo de informagao deve ser exa- 
minada de acordo com a politica de classificagao de dados corporativa para determinar se o solicitante 
esta autorizado a ter tais informagdes. Quando a classe das informag¢oes nao puder ser determinada, 
elas devem ser consideradas como Internas. 


Em alguns casos, 0 suporte técnico do fornecedor externo tera de se comunicar com as pessoas 
que tém acesso aos sistemas de computadores da empresa. Eles devem ter contatos especificos no 
departamento de TI para que os envolvidos possam reconhecer uns aos outros para fins de verifi- 
cacao. 


8-4 Divulgacao de senhas 


Politica: A equipe de operagdes de computador nunca deve revelar suas senhas ou nenhu- 
ma outra senha que lhe seja confiada sem aprovacao prévia de um gerente de tecnologia da infor- 
macao. 


Explicacao/Observacodes: Em lermos gerais, a revelagao de qualquer senha para outra 
pessoa é proibida. Esta politica reconhece que o pessoal de operacgées talvez tenha de revelar uma 
senha para terceiros quando surgem situacg6es urgentes. Esta excecao a politica geral que projbe a di- 
vulgacao de qualquer senha requer aprovacao especifica de um gerente de tecnologia da informag¢ao. 
Como medida extra de precauc¢ao, esta responsabilidade de divulgar informag6es de autenticacao 
deve se limitar a um grupo pequeno de individuos que receberam treinamento especial sobre os 
procedimentos de verificagao. 
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8-5 Midia eletronica 


Politica: Toda midia eletr6nica que contenha informag6es que nao foram criadas para liberac¢ao 
ao publico deve ser mantida em uma localiza¢gao fisicamente segura. 


v4 


Explicagao/Observacodes: A intencao desta politica é evitar o roubo fisico de informacgdes 
Sigilosas armazenadas em midia eletr6nica. 


8-6 Midia de backup 


Politica: O pessoal de operagdes deve armazenar a midia de backup em um cofre da empresa 
ou em outra localizagao segura. 


Explicacao/Observacoes: A midia de backup é outro alvo primario dos invasores de com- 
putadores. Um atacante nao vai perder tempo tentando comprometer um sistema ou rede de computa- 
dores quando o elo mais fraco da cadeia pode ser a midia de backup fisicamente desprotegida. Apés a 
midia de backup ser roubada, 0 atacante pode comprometer a confidencialidade dos dados armazena- 
dos nela, a menos que estejam criptografados. Assim sendo, dar seguranga fisica 4 midia de backup e 
um processo essencial para proteger a confidencialidade das informacg6es corporativas. 


POLITICAS PARA TODOS OS EMPREGADOS 


Tanto no departamento de TI, de recursos humanos, no departamento contabil ou na equipe de manu- 
tencao existem determinadas politicas de seguranga que cada empregado da sua empresa deve conhe- 
cer. Essas politicas classificam-se nas categorias, Geral, Uso do Computador, Uso do Correio Eletréni- 
co, politicas para Telecomutadores, Uso do Telefone, Uso do Fax, Uso do Voice Mail e Senhas, 


Geral 
9-1 Relatando ligacoes suspeitas 


Politica: Os empregados que suspeitam que podem estar sendo alvos de uma violac¢ao de se- 
guranca, incluindo todas as solicitagdes suspeitas de divulgagao de informagdes ou de execucao de 
acdes em um computador, devem relatar 0 evento imediatamente ao grupo de relatorio de incidentes 
da empresa. 


Explicacao/Observacdes: Quando um engenheiro social nao convence o seu alvo a atender 
uma exigéncia, ele sempre tenta outra pessoa. Ao relatar uma ligac4o ou um evento suspeito, um empre- 
gado toma a primeira etapa para alertar a empresa de que um ataque pode estar a caminho. Assim sendo. 
os empregados individuais sao a linha de frente na defesa contra os ataques da engenharia social. 


9-2 Documentando as ligacoes suspeitas 


Politica: No caso de uma ligacao telefO6nica suspeita que parece ser um ataque de engenharia 
social, o empregado deve, na medida do possivel, conversar com o interlocutor para saber dos deta- 
Ihes que possam revelar o que o atacante esta tentando conseguir e tomar notas desses detalhes para 
depois fazer um relatério. 


Explicacao/Observacdes: Quando reportados ao grupo de relatério de incidentes, tais de- 
talhes podem ajuda-los a detectar 0 objeto ou padrao de um ataque. 
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9-3 Divulgagcao dos numeros de discagem 


Politica: Os funciondrios da empresa nao devem divulgar os numeros de telefone de modem 
da empresa, mas sempre devem encaminhar tais solicitagdes para o help desk ou pessoal do suporte 
técnico. 


Explicacao/Observacodes: Os ntimeros de telefone de discagem devem ser tratados como in- 
formacgoes Internas e sé devem ser fornecidos a empregados que tenham necessidade de ter essas 
informacg6es para executar seu trabalho. 


Os engenheiros sociais geralmente visam os empregados ou departamentos que podem proteger 
menos as informagoes solicitadas. Por exemplo, 0 atacante pode ligar para o departamento de contas 
a pagar fazendo-se passar por um empregado da empresa de telefonia que esta tentando resolver um 
problema com uma fatura. Em seguida, pede alguns nimeros de fax ou discagem conhecidos para 
resolver o problema. O intruso quase sempre visa um empregado que nao tem chances de perceber o 
perigo de liberar tais informa¢gOes ou que nao tem o treinamento com relacao a politica e aos proce- 
dimentos de divulgacao da empresa. 


9-4 Crachas de identificagao da empresa 


Politica: Exceto quando estiver na area proxima ao escritério, todo funciondério da empresa, in- 
cluindo a gerencia e a equipe executiva, deve usar seus crachaés de empregado durante todo 0 tempo. 


Explicacao/Observacgoes: Todos os funcionarios, incluindo os executivos corporativos, 
devem ser treinados e motivados para entender que o uso de um cracha de identificagao é obrigatoério 
em qualquer lugar das instalagdes da empresa que nao sejam areas publicas e 0 proprio escrité6rio ou 
grupo de trabalho da pessoa. 


9-5 Desafiando os que nao usam cracha de identificagao 


Politica: Todos os empregados devem questionar imediatamente qualquer pessoa desconheci- 
da que nao esteja usando um cracha de empregado ou visitante. 


Explicacao/Observacdes: Embora nenhuma empresa queira criar uma cultura na qual os 
empregados fiquem procurando um modo de questionar os colegas que se aventuram a ir até 0 saguao 
sem seus crachas, toda empresa que se preocupa em proteger suas informacg6ées precisa levar a sério a 
ameaca de um engenheiro social perambulando pelas suas instalagdes sem ser questionado. A motiva- 
¢ao para que os empregados sejam diligentes e ajudem a implantar a politica de sempre usar o cracha 
inclui, por exemplo, o reconhecimento da iniciativa no jornal da empresa ou nos quadros de avisos; 
algumas horas de liceng¢a remunerada ou uma carta de recomenda¢aéo em seus registros pessoais. 


9-6 Burlando a seguran¢ca da entrada 


Politica: Os empregados que entram em um prédio nao devem permitir que ninguém que eles 
nao conhecam pessoalmente os siga quando usarem um meio seguro, tal como um cartao-chave, para 
entrar no prédio. 


Explicacao/Observacdes: Os empregados devem entender que nao é falta de educacao 
exigir que as pessoas desconhecidas se identifiquem antes de ajuda-las a entrar em um prédio ou 
acessar uma area segura. 
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Com freqiiéncia, os engenheiros sociais usam uma técnica conhecida como "pular sela", porque 
ficam ao lado de outra pessoa que esta entrando em um prédio ou area Sigilosa e, em seguida, sim- 
plesmente entram com essa pessoa. A maioria das pessoas nao se sente bem em questionar as outras 
pessoas, supondo que talvez sejam empregados legitimos. Outra técnica semelhante é transportar 
diversas caixas para que o trabalhador abra e mantenha a porta aberta para ajudar. 


9-7 Destruindo documentos sigilosos 


Politica: Os documentos sigilosos a ser descartados devem ser colocados em uma maquina de 
cortar papel; a midia, incluindo discos rigidos que alguma vez contiveram informacg6es ou materiais 
Sigilosos, deve ser destruida de acordo com os procedimentos estabelecidos pelo grupo responsavel 
pela seguranga das informacoes. 


Explicacao/Observacdes: As maquinas-padrao de cortar papel nao destroem adequada- 
mente os documentos. As maquinas com corte cruzado transformam os documentos em polpa. A 
melhor pratica de segurancga é presumir que os principais concorrentes da organizacao revirarao os 
materiais descartados em busca de qualquer informacao que possa beneficia-los. 


Os espides industriais e atacantes de computador obtém regularmente as informagoes Sigilo- 
sas dos materiais que s4o jogados no lixo. Em alguns casos, os concorrentes tém tentado enganar 
as equipes de limpeza para mexer no lixo da empresa. Em um exemplo recente, um empregado 
da Goldman Sachs descobriu na lata de lixo itens que foram usados em um esquema interno de 
comércio. 


9-8 Identificadores pessoais 


Politica: Os identificadores pessoais, tais como o numero do empregado, o nimero do seguro 
social, o nimero da carteira de motorista, a data e o local de nascimento e 0 nome de solteira da mae 
nunca devem ser usados como um meio de verificar a identidade. Esses identificadores nao sao secre- 
tos e podem ser obtidos por inimeros meios. 


Explicacao/Observacodes: Um engenheiro social pode obter os identificadores pessoais de 
outras pessoas por um prego. E, na verdade, ao contrario da cren¢a popular, todos que tém um cartao 
de crédito e acesso a Internet podem obter essas identificagdes pessoais. Mesmo assim, apesar do 
perigo 6bvio, os bancos, as empresas de servicos ptblicos e as administradoras de cartOes de crédito 
normalmente usam esses identificadores. Esse € um dos motivos pelos quais 0 roubo de identidade é 
O crime de crescimento mais rapido da década. 


9-9 Organogramas 


Politica: Os detalhes mostrados no organograma nao devem ser divulgados para ninguém além 
dos empregados da empresa. 


Explicacao/Observacoes: As informacgdes sobre a estrutura corporativa incluem os or- 
ganogramas, as listas departamentais de empregados, os nomes dos empregados, as posicdes dos 
empregados, os nimeros de contato internos, os nimeros de empregados ou informacées seme- 
Ihantes. 


Na primeira fase de um ataque da engenharia social, 0 objetivo é reunir informa¢6es sobre a 
estrutura interna da empresa. Em seguida, essas informagOes sao usadas para criar um plano de 
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ataque. O atacante também pode analisar essas informacOes para determinar quais empregados 
podem ter acesso aos dados que ele busca. Durante o ataque, as informacdes fazem o atacante 
parecer um empregado bem informado, e isso lhe dé mais chances de fazer com que a vitima 
coopere. 


9-10 Informacoes particulares sobre os empregados 


Politica: Todas as solicitagdes de informag6es particulares sobre um empregado devem ser 
encaminhadas para o departamento de recursos humanos. 


Explicacao/Observacoes: Uma excecao a esta politica pode ser o numero de telefone para 
um empregado que precisa ser contatado por motivos profissionais ou que esteja agindo como inter- 
mediario. Entretanto, sempre é preferivel obter o numero de telefone do solicitante e fazer com que o 
empregado ligue de volta para a pessoa. 


Uso do computador 
10-1 Inserindo comandos em um computador 


Politica: Os funcionarios nunca devem inserir comandos em um computador ou equipamento 
relacionado sob solicitagao de outra pessoa, a menos que o solicitante tenha sido verificado como um 
empregado do departamento de tecnologia da informagao. 


Explicacao/Observacdes: Um truque comum dos engenheiros sociais é solicitar que um 
empregado insira um comando que faz uma alteracao na configuragao do sistema e permita que o 
atacante acesse 0 computador da vitima sem fornecer autenticagaéo ou recupere as informagOes que 
podem ser usadas para facilitar um ataque técnico. 


10-2 Convencoes internas de nomeacao 


Politica: Os funcionarios nao devem divulgar os nomes internos dos sistemas ou bancos de 
dados de computadores sem verifica¢gao prévia de que o solicitante é empregado da empresa. 


Explicacio/Observacées: As vezes os engenheiros sociais tentam obter os nomes dos 
sistemas de computadores da empresa. Depois de ter um nome, o atacante faz uma ligacao para a 
empresa fazendo-se passar por um empregado legitimo que esta com problemas para acessar ou usar 
um dos sistemas. Conhecendo 0 nome interno designado a determinado sistema, 0 engenheiro social 
adquire credibilidade. 


10-3 Solicitagoes para executar programas 


Politica: Os funciondrios nunca devem executar nenhum aplicativo ou programa de computa- 
dor sob solicitagao de outra pessoa, a menos que o solicitante tenha sido verificado como um empre- 
gado do departamento de tecnologia da informacao. 


Explicacao/Observacoes: Toda _ solicitag4o para executar programas, aplicativos ou 
executar qualquer atividade em um computador deve ser recusada, a menos que o solicitante seja 
identificado positivamente como um empregado do departamento de tecnologia da informacao. Se 
a solicitagéo envolver a revelacao de informacdes Confidenciais de qualquer arquivo ou mensagem 
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eletr6nica, a resposta ao solicitante deve estar de acordo com os procedimentos para liberacao das 
informag6es Confidenciais. Consulte a Politica de Divulgacao de Informagées. 


Os atacantes enganam as pessoas para que elas executem programas que permitam ao intruso 
ter o controle do sistema. Quando um usuario desavisado executa um programa "plantado" por um 
atacante, o resultado pode dar ao intruso 0 acesso ao sistema de computadores da vitima. Outros 
programas registram as atividades do usuario do computador e retornam essas informago6es para o 
atacante. 


Enquanto um engenheiro social pode enganar uma pessoa para que ela execute instrugdes no 
computador que podem causar danos, um ataque técnico engana o sistema operacional para executar 
instrugdes de computador que podem causar 0 mesmo tipo de danos. 


10-4 Fazendo download ou instalando software 


Politica: Os funciondrios nunca devem fazer download ou instalar software sob solicitagéo de 
outra pessoa, a menos que o Solicitante tenha sido verificado como um empregado do departamento 
de tecnologia da informac¢ao. 


Explicacao/Observacdes: Os empregados devem estar alertas para qualquer solicitagao 
incomum que envolva qualquer tipo de transagéo com equipamento relacionado com computadores. 


Uma tatica comum usada pelos engenheiros sociais e enganar as vitimas desavisadas para que 
fagam o download e instalem um programa que ajude o atacante a realizar 0 seu objetivo de compro- 
meter a seguranca do computador ou da rede. Em alguns casos, 0 programa pode espiar e registrar as 
acdes do usuario ou permitir que o atacante assuma o controle do sistema de computadores usando 
um aplicativo remoto por meio de conex6es criptografadas. 


10-5 Senhas em texto simples e correio eletronico 


Politica: As senhas nao devem ser enviadas por correio eletr6nico, a menos que sejam cripto- 
grafadas. 

Explicacao/Observacodes: Embora nao seja desencorajada, esta politica nao € usada pelos 
sites de comércio eletr6nico em determinadas circunstancias, tais como: 


¢ O envio de senhas para clientes que se registraram no site. 


¢ O envio de senhas para os clientes que perderam ou se esqueceram de suas senhas. 


10-6 Software relacionado a seguranca 


Politica: Os funciondrios nunca devem remover ou desativar antivirus, firewall ou outro 
software relacionado com seguranga sem a prévia aprovacao do departamento de tecnologia da in- 
formacao. 


Explicacao/Observacoes: Os usuarios as vezes desativam o software relacionado com 
seguran¢a ingenuamente, achando que isso vai aumentar a velocidade de seus computadores. 


Um engenheiro social pode tentar enganar um empregado para que ele desative ou remova 


o software que é necessaério para proteger a empresa contra as ameagas relacionadas com segu- 
ranga. 
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10-7 Instalagao de modems 


Politica: Nenhum modem pode estar conectado a nenhum computador até que a aprovacéo 
prévia seja obtida do departamento de TI. 


Explicacao/Observacoes: E importante reconhecer que os modems dos desktops ou es- 
tacdes de trabalho representam uma ameaga substancial a segurancga, sobretudo se estiverem conec- 
tados a rede corporativa. Da mesma forma, esta politica controla os procedimentos de conexao por 
modem. 


Os hackers usam uma técnica chamada discagem de guerra para identificar todas as linhas de 
modem ativas dentro de determinados numeros de telefone. A mesma técnica pode ser usada para 
localizar os numeros de telefone que estao conectados aos modems da empresa. Um atacante pode 
comprometer facilmente a rede corporativa se identificar um sistema de computadores conectado a 
um modem que execute software vulnerdvel de acesso remoto que esteja configurado com uma senha 
facil de adivinhar ou nenhuma senha. 


10-8 Modems e definicoes de resposta automatica 


Politica: Todos os desktops ou estagdes de trabalho com modems aprovados pelo TI devem 
ter 0 recurso de resposta automatica desativado para evitar que alguém disque para o sistema de 
computadores. 


Explicacao/Observacdes: Sempre que possivel, o departamento de tecnologia da_ infor- 
macéo deve empregar um conjunto de modems de discagem para aqueles funciondrios que precisam 
discar para sistemas de computadores externos via modem. 


10-9 Ferramentas de invasao 


Politica: Os empregados nao devem fazer o download nem usar ferramentas de software cria- 
das para anular os mecanismos de protecao de software. 


Explicacao/Observacoes: A Internet tem dezenas de sites que armazenam softwares 
criados para quebrar chaves de seguranga de ferramentas shareware e comerciais. O uso desses pro- 
gramas nao apenas viola o copyright do proprietario de um software, mas também é muito perigoso. 
Como esses programas originam-se de fontes desconhecidas, eles podem conter cédigos ocultos de 
carater malicioso que pode causar danos ao computador do usuario ou plantar um Cavalo de Trdia que 
da ao invasor acesso total ao computador do usuario. 


10-10 Publicando informacgoes da empresa on-line 


Politica: Os empregados nao devem divulgar nenhum detalhe relativo ao hardware ou software 
da empresa em newsgroups publicos, féruns ou bulletin boards e néo devem mencionar nenhuma 
informacao de contato interno que n4o esteja de acordo com a politica. 


Explicacao/Observacdes: Toda mensagem publicada na Usenet, nos foruns on-line, nos 
bulletin boards ou em mailing lists pode ser pesquisada para o atacante reunir as informa¢g6oes sobre 
a empresa-alvo ou um individuo alvo. Durante a fase de pesquisa de um ataque de engenharia social, 
o atacante pode pesquisar na Internet todas as publicagdes que contém informagées Uteis sobre a 
empresa, seus produtos ou seu pessoal. 
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Algumas delas contém informag6es Uteis que 0 atacante pode usar para melhorar um ataque. Por 
exemplo, um administrador de rede pode publicar uma pergunta sobre a configuragao dos filtros de 
firewall de determinada marca e modelo. Um atacante que descobre essa mensagem adquire infor- 
mag¢oes valiosas sobre o tipo e a configuracao do firewall usado que lhe permite ter acesso a rede da 
empresa. 


Esse problema pode ser reduzido ou evitado pela implementacgao de uma politica que permite 
que os empregados participem de newsgroups com contas andénimas que nao identificam a empresa 
da qual se originaram. Naturalmente, a politica deve exigir que os empregados nao incluam nenhuma 
informa¢gao de contato que possa identificar a empresa. 


10-11 Disquetes e outra midia eletronica 


Politica: Se uma midia qualquer, tal como disquetes ou CD-ROMs, for deixada em uma 4rea 
de trabalho ou na mesa de um empregado, e se aquela midia for de origem desconhecida, ela nao deve 
ser inserida em nenhum sistema de computadores. 


Explicacao/Observacdes: Um método usado pelos atacantes para instalar cédigo malicioso 
e colocar programas em um disquete ou CD-ROM e rotuld-lo como algo irresistivel (por exemplo, 
"Dados de pagamento do pessoa! - Confidencial"). Em seguida, eles deixam diversas cépias nas areas 
usadas pelos empregados. Se uma Unica copia for inserida em um computador e os arquivos forem 
abertos, 0 cédigo malicioso do atacante sera executado. Isso pode criar uma backdoor, que é usada 
para comprometer o sistema, ou pode causar outros danos para a rede. 


10-12 Descartando midia removivel 


Politica: Antes de descartar qualquer midia eletr6nica que j4 conteve informagées Sigilosas da 
empresa, mesmo que essas informa¢oes j4 tenham sido excluidas, ela deve ser totalmente destruida 
ou danificada para que nao tenha recuperac¢ao. 


Explicacao/Observacdes: Embora 0 uso das maquinas de cortar papel seja comum hoje em 
dia, os funcionarios da empresa podem nao dar importancia a ameaga de descartar midia eletr6énica 
que continha dados Sigilosos. Os atacantes tentam recuperar todos os dados armazenados na midia 
eletr6nica descartada. Os funciondarios podem presumir que a simples exclusao dos arquivos garante 
que esses arquivos nao podem ser recuperados. Essa suposi¢ao e incorreta e pode fazer com que as 
informacgoes comerciais confidenciais caiam nas m4éos erradas. Da mesma forma, toda midia eletr6nica 
que contenha ou tenha contido informag6es que nao foram rotuladas como Piiblicas devem ser limpas 
ou destruidas usando-se os procedimentos aprovados pelo grupo responsavel. 


10-13 Protetores de tela com senha 


Politica: Todos os usuarios de computadores devem definir uma senha para a protecéo de tela 
e o limite de inatividade para bloquear 0 computador apos determinado periodo de inatividade. 


Explicacao/Observacoes: Todos os empregados sao responsaveis por definir uma senha de 
protecao de tela e um timeout de inatividade com tempo nao superior a dez minutos. A intengao desta 
politica é evitar que uma pessoa no autorizada use 0 computador de outra pessoa. Além disso, esta po- 
litica evita que Os sistemas de computador da empresa sejam facilmente acessados por estranhos que 
tenham tido acesso ao prédio. 
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10-14 Divulgagcao ou compartilhamento da declaracao de senhas 


Politica: Antes de criar uma nova conta de computador, o empregado ou contratado deve assi- 
nar uma declaracAo por escrito reconhecendo que entende que as senhas nunca devem ser divulgadas 
ou compartilhadas com qualquer pessoa e que concorda em seguir essa politica. 


Explicacao/Observagoes: A declaragéo também deve incluir um aviso de que a violacao 
de tal acordo pode levar a uma acao disciplinar que vai desde uma simples adverténcia até o desliga- 
mento do funcionario. 


Uso do correio eletronico 
11-1 Anexos de correio eletronico 


Politica: Os anexos de correio eletr6nico nao devem ser abertos, a menos que seja esperado ou 
tenha sido enviado por uma Pessoa de Confianga. 


Explicacao/Observacodes: Todos os anexos de correio eletrénico devem ser bem examina- 
dos. Vocé pode exigir que uma Pessoa de Confiancga dé um aviso prévio de que um anexo esta sendo 
enviado antes de abri-lo. Isso reduzira 0 risco de que os atacantes que usam as taticas de engenharia 
social enganem as pessoas para que elas abram os anexos. 


Um método de comprometer um sistema de computador é fazer com que um empregado execute 
um programa malicioso que cria uma vulnerabilidade e fornece ao atacante 0 acesso ao sistema. Ao 
enviar um anexo de correio eletrOnico que tem um cdédigo executavel ou macros, o atacante pode ter 
o controle do computador do usuario. 


Um engenheiro social pode enviar um anexo de correio eletr6nico malicioso e, em seguida, pode 
ligar e tentar persuadir o destinatario para que ele abra 0 anexo. 


11-2 Encaminhamento automatico para enderecos externos 


Politica: Deve ser proibido 0 encaminhamento automatico de mensagens recebidas por correio 
eletr6nico para um endereco de correio eletrénico externo. 
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Explicacao/Observacoes: A intencao desta politica é evitar que um estranho receba uma 
mensagem de correio eletrO6nico enviada para um endere¢o de correio eletr6nico interno. 


Eventualmente os empregados configuram o encaminhamento das mensagens de correio eletr6- 
nico recebidas para um endere¢o fora da empresa quando eles estao fora do escritério. Ou entao, um 
atacante pode conseguir enganar um empregado para que ele configure um endere¢o de correio ele- 
tr6nico interno que é encaminhado para um endereco fora da empresa. Em seguida, ele pode se fazer 
passar como um empregado legitimo que tem um endereco de correio eletrénico interno da empresa 
e fazer com que as pessoas enviem informagdes Confidenciais para o enderego de correio eletrénico 
interno. 


11-3 Encaminhando mensagens de correio eletronico 


Politica: Toda solicitagéo de uma Pessoa Nao Verificada para transferir uma mensagem de 
correio eletr6nico para outra Pessoa Nao Verificada exige a confirma¢ao da identidade do solici- 
tante. 
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11-4 Verificando as mensagens de correio eletronico 


Politica: Uma mensagem de correio eletrénico que pare¢a ter vindo de uma Pessoa de Confian- 
¢a e contenha uma solicitagéo de informag6es nao destinadas ao Publico ou um pedido para executar 
uma acao com qualquer equipamento relacionado com computadores requer um formulario de auten- 
ticagcao adicional. Consulte Procedimentos de Verificacao e Autorizacao. 


Explicacao/Observacoes: Um atacante pode forjar facilmente uma mensagem de cor- 
reio eletrdnico e seu cabecalho para fazer com que ela parega ter sido originada de outro endere¢o 
de correio eletr6nico. Ele também pode enviar uma mensagem de correio eletrénico de um siste- 
ma de computador comprometido, que fornega uma autorizacao falsa para divulgar informa¢6es 
ou executar uma acao. Mesmo examinando o cabecalho de uma mensagem de correio eletrénico. 
vocé nao pode detectar aquelas que foram enviadas de um sistema interno de computador com- 
prometido. 


O uso do telefone 
12-1 Participando de pesquisas ao telefone 


Politica: Os empregados nao devem participar de pesquisas nem responder perguntas de qual- 
quer organizacao ou pessoa estranha. Tais solicitagdes devem ser encaminhadas para o departamento 
de relacdes publicas ou para outra pessoa designada. 


Explicacao/Observacdes: Um método usado pelos engenheiros para obter informac6es 
valiosas que podem ser usadas contra a empresa é ligar para um empregado e dizer que esta fazendo 
uma pesquisa. E surpreendente 0 modo como muitas pessoas ficam felizes em fornecer informagoes 
sobre a empresa e sobre si mesmos para estranhos quando elas acreditam que estao fazendo parte 
de uma pesquisa. Entre as quest6es inofensivas, 0 atacante insere algumas perguntas que quer saber. 
Eventualmente, tais informagdes podem ser usadas para comprometer a rede corporativa. 


12-2 Divulgagao dos numeros internos de telefone 


Politica: Se uma Pessoa Nao Verificada pede a um empregado o seu numero de telefone, ele 
primeiro deve determinar se a divulgacdo do nimero é necessdria para a condu¢ao dos negécios da 
empresa. 


Explicacao/Observacoes: A intencao desta politica é exigir que os empregados tomem 
uma decisaéo bem pensada diante da necessidade ou nao da divulgacao de seus ramais. Ao lidar com 
pessoas que nao demonstraram uma necessidade genuina de saber 0 ramal, a decisAo mais segura é 
exigir que liguem para o numero de telefone principal da empresa e sejam transferidos. 


12-3 Senhas nas mensagens do voice mail 


Politica: E proibido deixar mensagens que contenham informago6es de senha na caixa postal 
do voice mail de alguém. 
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Explicacao/Observacdes: Um engenheiro social quase sempre pode ter acesso a caixa 
postal de voz de um empregado porque ela esta inadequadamente protegida com um cédigo de acesso 
facil de adivinhar. Em um tipo de ataque, um intruso sofisticado pode criar sua prépria caixa postal 
de voz falsa e convencer outro empregado para deixar uma mensagem transmitindo informac6ées de 
senha. Esta politica combate esse golpe. 
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Uso do fax 
1 3-1 Retransmissao de faxes 


Politica: Nenhum fax deve ser recebido e encaminhado para outra parte sem verificagao da 
identidade do solicitante. 


Explicacao/Observacdes: Os ladrées de informacdes podem enganar os_ funcionarios 
para que eles enviem informacoes sigilosas por fax para uma maquina localizada nas instalagdes 
da empresa. Antes de 0 atacante dar o nimero do fax para a vitima, ele liga para um empregado 
desavisado, tal como uma secretdria ou um assistente administrativo, e pergunta se um docu- 
mento pode ser enviado para eles por fax para ser retirado mais tarde. Em seguida, apds o em- 
pregado desavisado ter recebido o fax, o atacante liga para ele e solicita que o fax seja enviado 
para outra localizacgao, alegando talvez que ele é necessario para uma reuniao urgente. Como a 
pessoa que deve retransmitir 0 fax geralmente nao entende o valor das informagées, ela atende a 
solicitacao. 


1 3-2 Verificagao de autorizacoes por fax 


Politica: Antes de executar quaisquer instruc6es recebidas por fax, 0 remetente deve ser con- 
firmado como um empregado ou Pessoa de Confianga. Geralmente uma ligacao telefOnica para o 
remetente para verificar a solicitagao é suficiente. 


Explicacao/Observacoes: Os empregados devem tomar cuidado quando _ solicitagdes 
incomuns sao enviadas por fax, tal como uma solicitagéo para entrar comandos em um computador 
ou divulgar informagoes. Os dados do cabecalho de um documento enviado por fax podem ser fal- 
sificados pela alteracao das definigdes da maquina de fax remetente. Assim sendo, 0 cabecalho de 
um fax nao deve ser aceito como um meio de estabelecer a identidade ou autorizacao. 


1 3-3 Enviando informacoes sigilosas por fax 


Politica: Antes de enviar informacgoées Sigilosas por fax para uma maquina que esteja localiza- 
da em uma 4rea acessada por outros funcionarios, o remetente deve transmitir uma pagina de rosto. 
O destinatario, ao receber a pagina, transmite uma pagina de resposta, para demonstrar que ele esta 
presente fisicamente na maquina de fax. Em seguida, o remetente retransmite o fax. 


Explicacao/Observacoes: Este processo garante ao remetente que o destinatario esta pre- 
sente fisicamente no lado receptor. Além disso, confirma se o numero do telefone do fax de recep¢ao 
nao foi encaminhado para outra localizacao. 


1 3-4 Proibigao de envio de senhas por fax 


Politica: As senhas nao podem ser enviadas por fax sob nenhuma circunstancia. 
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Explicacao/Observacoes: O envio das informagdes de autenticagaéo por fax nao é seguro. 
A maioria das maquinas de fax pode ser acessada por diversos empregados. Além disso, elas usam a 
rede publica comutada de telefones, que pode ser manipulada pelo encaminhamento do ntimero de 
telefone para a maquina de fax receptora, para que o fax seja enviado para o atacante que esta em 
outro numero. 
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Uso do voice mail 
14-1 Senhas de voice mail 


Politica: As senhas de voice mail nunca devem ser divulgadas para ninguém sob nenhum 
pretexto. Além disso, elas devem ser alteradas a cada 90 dias ou menos, 


Explicacao/Observacdes: As informacgdes confidenciais da empresa podem ser deixadas 
nas mensagens do voice mail. Para proteger essas informacg6es, os empregados devem alterar suas 
senhas com freqiiéncia e nunca devem divulga-las. Além disso, nao devem usar senhas iguais ou 
semelhantes em um periodo de 12 meses. 


14-2 Senhas em diversos sistemas 


Politica: Os usuarios de voice mail nao devem usar a mesma senha em qualquer outro telefone 
ou sistema de computador, seja ele interno ou externo a empresa. 


Explicacao/Observagoes: O uso de uma senha semelhante ou idéntica em diversos dispo- 
sitivos, tais como um voice mail e um computador, facilita a adivinhacao de todas as senhas de um 
usuario apos a identificagao de apenas uma. 


14-3 Definindo as senhas de voice mail 


Politica: Os usuarios e os administradores de voice mail devem criar senhas de voice mail que 
sejam dificeis de adivinhar. Elas nao devem estar relacionadas de nenhuma maneira com a pessoa 
que as usa nem com a empresa e nao devem conter um padrao previsivel que pode ser adivinhado 
facilmente. 


Explicacao/Observacoes: As senhas nao devem conter digitos seqiienciais ou repetidos 
(ou seja, 1111, 1234, 1010), nado podem ser iguais ou baseadas no numero do ramal de telefone e nao 
devem estar relacionadas com endereg¢o, cédigo postal, data de nascimento, placas de carro, nimero 
de telefone, peso, Q.I. ou outras informag6es pessoais previsiveis. 


14-4 Mensagens de correio eletronico marcadas como "antigas" 


Politica: Quando as mensagens de correio eletr6nico que ainda nao foram ouvidas nao estao 
marcadas como mensagens novas, 0 administrador do voice mail deve ser notificado sobre uma pos- 
sivel violagao da seguranga e a senha do voice mail deve ser imediatamente alterada. 


Explicacao/Observacoes: Os engenheiros sociais podem ter acesso a uma caixa postal de 
voice mail de varias maneiras. Um empregado que descobre que as mensagens que ele nunca ouviu 
nao estao sendo anunciadas como mensagens novas deve supor que outra pessoa obteve acesso auto- 
rizado a4 caixa postal do voice mail e ouviu as mensagens. 


14-5 Cumprimentos no voice mail externo 


Politica: Os funcionarios da empresa devem limitar a divulgacéo de informagdes em seu cum- 
primento externo no voice mail. Geralmente as informagoes relacionadas com rotina didria de um 
funcionario ou a sua programacao de viagens nao devem ser divulgadas. 
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Explicacao/Observacdes: Um cumprimento externo (reproduzido para as pessoas de fora) 
nao deve incluir o sobrenome, o ramal ou 0 motivo da auséncia (tal como viagem, férias ou itinerario 
diario). Um atacante pode usar essas informag6es para desenvolver uma hist6éria plausivel em sua 
tentativa de enganar os outros funcionarios. 


14-6 Padroes de senha de voice mail 


Politica: Os usuarios do voice mail nado devem selecionar uma senha na qual uma parte perma- 
nece fixa, enquanto a outra parte muda de acordo como um padrao previsivel. 


Explicacao/Observacoes: Por exemplo, nao use uma senha tal como 743501, 743502, 
743503 e assim por diante, na qual os dois ultimos digitos correspondem ao més atual. 


14-7 Informagoes confidenciais ou particulares 


Politica: As informacgdes Confidenciais ou Particulares néo devem ser divulgadas em uma 
mensagem de voice mail. 


Explicacao/Observacoes: O sistema corporativo de telefones via de regra é mais vul- 
neravel do que os sistemas corporativos de computadores. As senhas em geral sAo uma string de 
digitos, o que limita o numero de possibilidades que um atacante tem para adivinhar. Além disso, 
em algumas organizac6es, as senhas de voice mail podem ser compartilhadas com secretarias ou 
outras pessoas da equipe administrativa que tém a responsabilidade de receber recados para seus 
gerentes. Tendo isso em vista, nenhuma informa¢gaéo Sigilosa deve ser deixada no voice mail de 
alguém. 


Senhas 
15-1 Seguranca do telefone 


Politica: As senhas nao devem ser divulgadas ao telefone em nenhum momento. 


Explicacao/Observacdes: Os atacantes podem encontrar maneiras de ouvir as conversa- 
¢des telefOnicas, seja pessoalmente ou por meio de um dispositivo tecnolégico. 


1 5-2 Revelando as senhas de computador 


Politica: Sob nenhuma circunstancia um usuario de computador deve revelar sua senha para 
ninguém sem antes obter o consentimento por escrito do gerente responsdvel pela tecnologia da in- 
formacao. 


Explicacao/Observacdes: O objetivo de muitos ataques da engenharia social é enganar 
pessoas inocentes para que elas revelem os nomes e as senhas de suas contas. Esta politica €é uma 
etapa importante para reduzir 0 risco de que os ataques da engenharia social contra a empresa sejam 
bem-sucedidos. Sendo assim, ela precisa ser seguida religiosamente em toda a empresa. 


1 5-3 Senhas da Internet 


Politica: O pessoal nunca deve usar uma senha que seja igual ou semelhante aquela que estado 
usando em qualquer sistema corporativo de um site da Internet. 
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Explicacao/Observacdes: Os operadores maliciosos de sites Web podem configurar um 
site que diz oferecer algo de valor ou a possibilidade de ganhar um prémio. Para se registrar, 0 visi- 
tante do site deve inserir um endereco de correio eletr6nico, um nome de usuario e uma senha. Como 
muitas pessoas usam informacg6es iguais ou semelhantes de forma repetida, 0 operador malicioso do 
site Web tentara usar a senha escolhida e as suas varia¢gOes para atacar o sistema de computadores no 
trabalho ou na casa do alvo. O computador de trabalho do visitante as vezes pode ser identificado pelo 
endereco de correio eletrénico inserido durante o processo de registro. 


1 5-4 Senhas em diversos sistemas 


Politica: Os funciondrios nunca devem usar uma senha igual ou semelhante em mais de um 
sistema. Esta politica diz respeito a diversos tipos de dispositivos (computador ou voice mail), a 
diversas localizac6es de dispositivos (em casa ou no trabalho) e a diversos tipos de sistemas, disposi- 
tivos (roteador ou firewall) ou programas (banco de dados ou aplicativo). 


Explicacao/Observacoes: Os atacantes usam determinadas caracteristicas da natureza 
humana para invadir os sistemas e as redes de computadores. Eles sabem que para evitar 0 emba- 
raco de controlar diversas senhas, muitas pessoas usam senhas iguais ou semelhantes em todos os 
sistemas que acessam. Assim sendo, o intruso tentara aprender a senha de um sistema no qual 0 alvo 
tenha uma conta. Apos obté-la, é muito provavel que essa senha ou uma variacao dela dé 0 acesso 
aos outros sistemas e dispositivos usados pelo empregado. 


1 5-5 Reutilizando as senhas 


Politica: Nenhum usuario de computador deve usar uma senha igual ou semelhante dentro do 
mesmo periodo de 18 meses. 


Explica¢gao/Observa¢gao: Se um atacante descobrir a senha de um usuario, a mudanga fre- 
qiiente da senha minimiza o dano que pode ser causado. Criar uma senha nova que seja diferente da 
anterior é algo que torna mais dificil a sua adivinhagao pelo atacante. 


1 5-6 Padroes de senhas 


Politica: Os empregados nao devem selecionar uma senha na qual uma parte permanece fixa e 
o outro elemento muda seguindo um padrao previsivel. 


Explicacao/Observacoes: Por exemplo, nao use uma senha tal como KevinOl, Kevin02. 
Kevin03 e assim por diante, na qual os dois ultimos digitos correspondem ao més atual. 


1 5-7 Selecionando as senhas 


Politica: Os usuarios de computadores devem criar ou selecionar senhas que sigam os requi- 
sitos a seguir: 


e Tenham pelo menos oito caracteres de comprimento para as contas padrao de usuarios e pelo 
menos 12 caracteres de comprimento para as contas com privilégios. 


¢ Contenham pelo menos um nimero, pelo menos um simbolo (tal como $, _, !. &). pelo me- 
nos uma letra minuscula e pelo menos uma letra maitscula (na medida em que tais variaveis 
sejam suportadas pelo sistema operacional). 
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e Nao sejam nenhum destes itens: palavras de um diciondrio de qualquer idioma; qualquer 
palavra que esteja relacionada com familia, hobbies, veiculo, trabalho, placas do veiculo. 
numero de seguro social, endere¢o, telefone, nome do bichinho de estima¢ao do empregado 
ou frases contendo essas palavras. 


e Nao sejam a variagaéo de uma senha usada anteriormente com um elemento que permanece o 
mesmo e outro que muda, tal como kevin, kevinl, kevin2 ou kevinjan, kevinfev. 


Explicacao/Observacodes: Esses parametros produzem uma senha que é dificil de ser adi- 
vinhada pelo engenheiro social. Outra opcao é o método da consoante e vogai, o qual fornece uma 
senha facil de lembrar e de ser pronunciada. Para criar esse tipo de senha substitua as consoantes pela 
letra C e as vogais pela letra V usando a mascara de "CVCVCVCV". Os exemplos incluem MIXO- 
CASO; CUSOJENA. 


1 5-8 Escrevendo as senhas 


Politica: Os empregados devem escrever as senhas apenas quando forem armazenadas em uma 
localizagao distante do computador ou de outro dispositivo protegido por senha. 


Explicacao/Observacdes: Os empregados nao devem nunca escrever as senhas. Em deter- 
minadas condi¢6es, porém, isso pode ser necessario, por exemplo, no caso de um empregado que tem 
diversas contas em diferentes sistemas de computadores. Todas as senhas escritas devem estar segu- 
ras em um local longe do computador. Sob nenhuma circunstancia uma senha pode ser armazenada 
sob o teclado ou pregada no monitor do computador. 


1 5-9 Senhas em texto simples nos arquivos do computador 


Politica: As senhas em texto simples nao devem ser salvas em nenhum arquivo de computador, 
nem devem ser armazenadas como texto que pode ser chamado com uma tecla de fun¢ao. Quando 
for preciso, as senhas podem ser salvas usando-se um utilitério de criptografia aprovado pelo depar- 
tamento de TI para evitar a divulgacao nao autorizada. 


Explicacao/Observacodes: As senhas podem ser recuperadas facilmente por um atacante 
se elas forem armazenadas na forma nao criptografada em arquivos de dados de computador, arqui- 
vos de lote, teclas de fungao do terminal, arquivos de login, macro ou programas de scripting ou em 
quaisquer arquivos de dados que contenham senhas de sites FTP. 


POLITICAS PARA OS TELECOMUTADORES 


Os telecomutadores estao fora do firewall corporativo e, portanto, estaéo mais vulnerdveis a um ataque. 
Estas politicas ajudam a evitar que os engenheiros sociais usem os seus empregados telecomutadores 
como uma porta de entrada para os seus dados. 


16-1 Clientes Thin 


Politica: Todo o pessoal da empresa que foi autorizado a se conectar via acesso remoto deve 
usar um thin client para se conectar a rede corporativa. 

Explicacao/Observacoes: Quando um atacante analisa uma estratégia de ataque, ele tenta 
identificar os usuarios que acessam a rede corporativa de localizag6es externas. Como tal, os teleco- 
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mutadores sao os alvos primarios. Seus computadores tem menos chances de ser rigidamente contro- 
lados e podem ser um elo fraco que comprometa a rede corporativa. 


Todo computador que se conecta a uma rede segura pode ser invadido por meio das teclas digi- 
tadas ou sua conex4o autenticada pode ser seqiiestrada. Uma estratégia de cliente thin pode ser usada 
para evitar problemas. Um cliente thin € como uma esta¢4o de trabalho sem disco ou um terminal 
burro. O computador remoto nao tem capacidades de armazenamento, mas 0 sistema operacional, os 
programas de aplicativos e os dados residem todos na rede corporativa. O acesso da rede por meio de 
um cliente thin diminui substancialmente o risco dos sistemas sem patch, dos sistemas operacionais 
desatualizados e do cédigo malicioso. 


Da mesma forma, 0 gerenciamento da seguranc¢a dos telecomutadores é efetivo e mais facil pela 
centralizacgao dos controles de seguranga. Em vez de usar 0 telecomutador inexperiente para gerenciar 
adequadamente as quest6es relacionadas com seguranga, essas responsabilidades sao deixadas para 
os administradores treinados de sistema, rede ou seguranga. 


16-2 Software de seguranca para os sistemas de computador 
de telecomutador 


Politica: Todo sistema externo de computadores que é usado para a conexaéo com a rede cor- 
porativa deve ter software antivirus, software que 0 proteja do Cavalo de Trdéia e um firewall pessoal 
(hardware ou software). Os arquivos de defini¢gdes do antivirus ou do Cavalo de Tréia precisam ser 
atualizados pelo menos uma vez por semana. 


Explicacao/Observacdes: Normalmente, os telecomutadores nao sao treinados nas questdes 
relacionadas com seguranga e podem, sem querer ou por negligéncia, deixar seus sistemas de compu- 
tadores e a rede corporativa abertos para 0 ataque. Os telecomutadores, portanto, representam um sério 
riscO para a segurang¢a se nao forem bem treinados. Além da instala¢gao de software antivirus e contra o 
Cavalo de Troia para protegé-los do cédigo malicioso, um firewall é necessario para impedir que todos 
os usuarios hostis obtenham o acesso a quaisquer servi¢os ativados no sistema do telecomutador. 


O risco de nao empregar as tecnologias de seguranga minimas para evitar que 0 cédigo malicioso 
se propague nao pode ser subestimado, como mostra um ataque realizado contra a Microsoft. Um 
sistema de computador pertencente a um telecomutador da Microsoft e usado para se conectar a rede 
corporativa da Microsoft foi infectado com um programa Cavalo de Tréia. O intruso ou os intrusos 
puderam usar a conex4o segura do telecomutador com a rede de desenvolvimento da Microsoft para 
roubar cédigo-fonte de desenvolvimento. 


POLITICAS PARA RECURSOS HUMANOS 


Os departamentos de recursos humanos tém a responsabilidade especial de proteger os empregados 
contra as pessoas que tentam descobrir informag6es pessoais por intermédio do seu local de trabalho. 
Os profissionais de RH também tém a responsabilidade de proteger sua empresa contra as agdes de 
ex-empregados descontentes. 


17-1 Empregados demitidos 


Politica: Sempre que uma pessoa empregada pela empresa sai ou é demitida, o departamento 
de Recursos Humanos deve imediatamente tomar estas medidas: 
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e Remover o nome da pessoa da lista de telefones on-line de empregados e desativar ou redire- 
cionar seu voice mail. 
¢ Notificar o pessoal das portarias do prédio ou dos sagu6es da empresa. 


e Incluir o nome do empregado na lista de empregados demitidos, a qual deve ser enviada por 
correio eletr6nico para todo o pessoal com uma freqiiéncia nao inferior a uma vez por semana. 


Explicacao/Observacdes: Os empregados que ficam nas entradas do prédio devem ser 
notificados a nao deixar que um ex-empregado entre novamente nas instalagdes. Além disso, a notifi- 
cacao das outras pessoas pode evitar que 0 ex-empregado facga-se passar por um empregado legitimo 
e engane o pessoal para que tomem alguma acdo que possa causar danos a empresa. 


Em algumas circunstancias, talvez seja preciso exigir que cada usuario dentro do departamento do 
ex-empregado mude a sua senha. (Quando fui demitido da GTE apenas por causa da minha reputacao 
de hacker, a empresa exigiu que todos os empregados de toda a empresa mudassem suas senhas.) 


1 7-2 Notificagao ao departamento de TI 


Politica: Sempre que uma pessoa empregada pela empresa sai ou é demitida, o departamento 
de Recursos Humanos deve notificar imediatamente o departamento de tecnologia da informa¢éo 
para desativar as contas de computador do ex-empregado, incluindo todas as contas usadas para o 
acesso a bancos de dados, discagem ou acesso a Internet de localizagdes remotas. 


Explicacio/Observacées: E essencial que todo o acesso do ex-funciondrio a todos os 
sistemas de computadores, dispositivos de rede, bancos de dados ou quaisquer outros dispositivos 
relacionados com computador sejam imediatamente desativados apés o seu desligamento. Caso con- 
trario, a empresa pode deixar a porta aberta para que um empregado insatisfeito acesse os sistemas de 
computadores da empresa e cause danos significativos. 


1 7-3 Informacoes confidenciais usadas no processo de contratacao 


Politica: Os antncios e as outras formas de solicitagaéo publica de candidatos para o preen- 
chimento de vagas devem, na medida do possivel, evitar a identificagao do hardware e software de 
computador usado pela empresa. 


Explicacao/Observacodes: Os gerentes e 0 pessoal de recursos humanos sé devem divulgar 
as informacgoes relacionadas com o hardware e software de computador da empresa que sejam relati- 
vamente necessarias para obter os curriculos dos candidatos qualificados. 


Os atacantes léem os jornais e os press releases das empresas e visitam os sites na Internet para en- 
contrar as listagens de cargos. Quase sempre, as empresas divulgam muitas informagoées sobre os tipos 
de hardware e software usados para atrair possiveis empregados. Apos 0 intruso descobrir os sistemas de 
informagoes do alvo, ele esta preparado para a proxima fase do ataque. Por exemplo, sabendo que deter- 
minada empresa usa 0 sistema operacional VMS. 0 atacante pode fazer ligagdes para determinar a ver- 
sao e, em seguida, pode enviar um patch de segurancga de emergéncia falso feito para parecer que veio 
do desenvolvedor do software. Depois que o patch esta instalado, 0 atacante esta dentro da empresa. 


1 7-4 Informacgoes pessoais de empregado 


Politica: O departamento de recursos humanos nunca deve liberar informagdes pessoais sobre 
nenhum empregado atual ou ex-empregado, contratado, consultor, funciondrio temporario ou esta- 
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gidrio, exceto com oO consentimento prévio, expresso e por escrito do empregado ou do gerente de 
recursos humanos. 


Explicacao/Observacodes: Os head-hunters, detetives particulares e ladrdes de identidade 
visam as informacgées particulares dos empregados, tais como nimero de empregado, nimero de 
seguro social, data de nascimento, histérico de salario, dados financeiros, incluindo as informacg6es 
de deposito e informagées relacionadas com beneficios de satide. O engenheiro social pode obter 
essas informac¢oes para se fazer passar pelo individuo. Além disso, a divulgacgao dos nomes dos novos 
contratados pode ser muito valiosa para os ladrdes de informagdes. Os novos contratados podem 
atender a qualquer solicitagao feita por pessoas com grau mais alto ou em posi¢ao de autoridade ou 
por qualquer pessoa que alegue ser da segurang¢a corporativa. 


1 7-5 Verificagao de antecedentes 


Politica: Uma verificagaéo de antecedéncia deve ser feita para todos os novos contratados, 
consultores, funciondrios temporarios, contratados ou estagiarios antes de uma oferta de emprego ou 
de um relacionamento com contrato. 


Explicacao/Observacodes: Devido as questdes de custo, as verificagdes de antecedentes 
podem ser limitadas a posi¢6es de confianga especificas. Observe, porém, que qualquer pessoa que 
recebe o acesso fisico aos escrit6rios corporativos pode ser uma ameaga em potencial. Por exemplo, 
as equipes de limpeza transitam nos escritérios do pessoal, 0 que lhes da 0 acesso a quaisquer sis- 
temas de computadores localizados neles. Um atacante que tenha o acesso fisico a um computador 
pode instalar um keylogger (detector de teclas digitadas) em menos de um minuto para capturar as 
senhas. 


Os intrusos de computador as vezes se dao ao trabalho de obter um emprego como um meio 
de ter acesso aos sistemas e redes de computadores de uma empresa-alvo. Um atacante pode obter 
facilmente 0 nome da empresa de limpeza contratada por uma companhia ligando para 0 empregado 
responsavel na companhia-alvo, alegando ser de uma empresa de limpeza que esta procurando clien- 
tes e, em seguida, obtendo 0 nome da empresa que no momento fornece esses servicos. 


POLITICAS PARA A SEGURANCA FISICA 


Embora os engenheiros sociais tentem evitar aparecer pessoalmente em um local de trabalho que é o 
seu alvo, existem ocasides em que eles violam esse espaco. Estas politicas ajudam vocé a manter as 
suas instalacgdes fisicas seguras contra essa ameaga. 


18-1 Identificacao para nao-empregados 


Politica: O pessoal de entrega e outros néo-empregados que precisam entrar nas instalagdes da 
empresa regularmente devem ter um cracha especial ou outra forma de identificagaéo de acordo com 
a politica estabelecida pela segurang¢a corporativa. 


Explicacao/Observacoes: Os nao-empregados que precisam entrar no prédio regularmente 
(por exemplo, para fazer entregas de alimentos ou bebidas no restaurante ou para consertar maquinas 
copiadoras e instalar telefones) devem ter um cracha de identificagaéo da empresa que c usado para 
essa finalidade. 
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As outras pessoas que precisam entrar apenas eventualmente ou uma s6 vez devem ser tratadas 
como visitantes e devem estar sempre acompanhadas. 


1 8-2 Identificacao de visitante 


Politica: Todos os visitantes devem apresentar uma carteira de identidade valida ou outra iden- 
tificagao com foto para serem admitidos nas instalacdes da empresa. 


Explicacao/Observacdes: A equipe de seguranga ou recep¢aéo deve fazer uma fotocdpia 
do documento de identificagao antes de emitir um cracha de visitante. A c6pia deve ser mantida com 
oO registro do visitante. As informacoes de identificagéo também podem ser registradas no livro de 
visitantes pela recepcao ou pelo guarda; os visitantes nao podem escrever suas proéprias informagées 
de identificagao. 


Os engenheiros sociais que querem entrarem um prédio sempre escrevem informacgées falsas no 
registro. Embora nao seja dificil obter um ID falso e descobrir o nome de um empregado que podem 
estar visitando, a exigéncia de que 0 empregado responsavel registre a entrada inclui um nivel extra 
de seguranga no processo. 


1 8-3 Acompanhamento de visitantes ° 


Politica: O visitante deve ser acompanhado ou estar na companhia de um empregado durante 
todo o tempo. 


v4 


Explicacao/Observacoes: Um truque conhecido dos engenheiros sociais é conseguir uma vi- 
sitaa um empregado da empresa (por exemplo, a visita a um engenheiro de produto sob o pretexto de ser 
o empregado de um parceiro estratégico). Apds ser acompanhado para a reuniao principal, o engenheiro 
social garante ao empregado que ele consegue encontrar 0 caminho de volta até a recepcao. Assim ele 
ganha a liberdade para perambular pelo prédio e possivelmente ter acesso a informacées Sigilosas. 


1 8-4 Crachas temporarios 


Politica: Os funcionaérios de outra localizagéo que nao tém seus crachas de identificagéo de- 
vem apresentar uma carteira de identidade valida ou outro documento com foto e receber um cracha 
temporario de visitante. 


Explicacao/Observacdes: Quase sempre, os atacantes fazem-se passar por empregados de 
um escritorio ou filial diferente para ter acesso a uma empresa. 


1 8-5 Evacuacao de emergéncia 


Politica: Em uma situacao de emergéncia ou simulacgao, 0 pessoal da segurancga deve garantir 
que todos tenham saido das instalac¢oes. 


Explicacao/Observacdes: O pessoal da segurancga deve verificar se alguma pessoa ficou 
nos banheiros ou nas areas de escrit6rios. Conforme autorizacao da Brigada de Incéndio ou de outra 
autoridade responsdvel, a equipe de seguranga precisa estar alerta para todos aqueles que saem do 
prédio muito depois da sua evacuacao. 


Os espides industriais ou atacantes podem criar uma distragao para ter acesso a um prédio ou 
area segura. Uma das distragdes usadas é langar no ar um produto quimico inofensivo chamado butil 


Capitulo 16 Recomendacoes de Politicas de Seguranca das Informacoes Corporativas 261 


mercaptano. O efeito dé a impress4o de que ha um vazamento de gas natural. Depois que o pessoal 
inicia Os procedimentos de evacuacao, 0 audacioso atacante usa esse truque para roubar informag6es 
ou ter acesso aos sistemas de computadores da empresa. Outra tatica usada pelos ladroes de infor- 
macoes é ficar para tras, em banheiros ou armarios, no momento de uma simula¢ao programada de 
evacuacaéo do prédio, ou apoés criar uma fumaga falsa ou outro dispositivo para causar uma evacuacaéo 
de emergéncia. 


1 8-6 Visitantes da sala de correspondéncia 


Politica: Nenhum visitante pode entrar na sala de correspondéncia sem a superviséo de um 
funcionario da empresa. 
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Explicacao/Observacdes: A intencdo desta politica é evitar que um estranho troque, envie 
ou roube correspondéncia interna da empresa. 


1 8-7 Numeros das placas de veiculos 


Politica: Se a empresa tiver uma drea de estacionamento com guardas, a equipe de seguranc¢a 
deve registrar os numeros das placas de todos os veiculos que entram na 4rea. 


1 8-8 Contéineres de lixo 


Politica: Os contéineres de lixo devem sempre permanecer nas instalagdes da empresa e nao 
podem ser acessados pelo publico. 


Explicacao/Observacdes: Os atacantes e os espides industriais podem obter informacdes 
valiosas nas latas de lixo da empresa. A justica considera que o lixo é encarado legalmente como 
propriedade abandonada, de modo que 0 ato de virar latas é perfeitamente legal, desde que os dep6- 
sitos de lixo estejam em propriedade publica. Por esse motivo é importante que os depésitos de lixo 
estejam situados na propriedade da empresa, onde ela tem o direito legal de proteger os contéineres 
e seu contetido. 


POLITICAS PARA RECEPCIONISTAS 


Os recepcionistas quase sempre estao na linha de frente no que diz respeito a lidar com os engenhei- 
ros sociais, mas eles raramente tém um treinamento suficiente em seguranca para reconhecer e deter 
um invasor. Institua estas politicas para ajudar o seu recepcionista a proteger melhor a sua empresa 
e seus dados. 


19-1 Diretorio interno 


Politica: A divulgacao das informagédes do diretério interno da empresa deve ser limitada 4s 
pessoas empregadas pela empresa. 

Explicacao/Observacoes: Todos os cargos, nomes, numeros de telefone e enderecos de em- 
pregados contidos no diretério da empresa devem ser considerados informagées Internas, e s6 devem ser 
divulgados de acordo com a politica relacionada com classificagaéo de dados e informag6es internas. 


Além disso, toda pessoa que liga deve ter 0 nome e 0 ramal da pessoa que esta tentando contatar. 
Embora o recepcionista possa fazer uma transferéncia de ligagaéo quando um interlocutor nao sabe 
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o numero do ramal, a divulgacaéo do numero do ramal para o interlocutor deve ser proibida. (Para 
aquele pessoal curioso que s6 acredita vendo: experimente este procedimento ligando para a Agéncia 
Nacional de Seguranga e pedindo ao telefonista o numero de um ramal.) 


19-2 Numeros de telefone para departamentos/grupos especificos 


Politica: Os empregados nao devem fornecer nimeros diretos de telefone do help desk da em- 
presa, do departamento de telecomunicag6es, de operagdes de computadores ou do pessoal da admi- 
nistragao de sistemas sem antes verificar se o solicitante tem uma necessidade legitima de entrar em 
contato com esses grupos. Ao transferir a ligag¢ao para esses grupos, 0 recepcionista deve anunciar o 
nome de quem esta ligando. 


Explicacao/Observacoes: Embora algumas organizagdes achem esta politica restritiva, 
esta regra torna ainda mais dificil para um engenheiro social disfargar-se de empregado e fazer os ou- 
tros empregados transferirem a ligagao de seus ramais (0 que em alguns sistemas de telefone faz com 
que a ligacao parega se originar de dentro da empresa) ou demonstrar conhecimento desses ramais 
para a vitima a fim de criar uma idéia de autenticidade. 


19-3 Retransmitindo informacoes 


Politica: Os operadores de telefone e recepcionistas néo devem anotar recados ou _ passar 
mensagens por parte de qualquer pessoa que nao seja conhecida pessoalmente como um empregado. 


Explicacao/Observacdes: Os engenheiros sociais gostam de enganar os empregados para 
que eles endossem sem querer a sua identidade. Um truque da engenharia social é obter 0 numero 
de telefone da recepcionista e, com algum pretexto, pedir que ela anote todos os recados que sejam 
deixados para ele. Em seguida, durante uma ligacao para a vitima, 0 atacante finge ser um empre- 
gado, pede algumas informac¢oes sigilosas ou pede para ela executar uma tarefa e da o nimero do 
PBX como um numero de retomo. Mais tarde o atacante liga de volta para a recepcionista e recebe a 
mensagem que foi deixada para ele pela vitima desavisada. 


1 9-4 Itens deixados para retirada 


Politica: Antes de liberar qualquer item para um mensageiro ou outra Pessoa Nao Verificada, a 
recepcionista ou o guarda de seguran¢ga deve obter uma identificag¢aéo com foto e registrar as informa- 
¢des de identificagao no registro de retiradas de acordo com os procedimentos aprovados. 


Explicacao/Observacoes: Uma tatica da engenharia social é€ enganar um empregado para 
que ele libere material sigiloso para outro empregado supostamente autorizado, deixando tal material 
na recepcao ou no saguao para retirada. Naturalmente, a recepcionista ou guarda de seguran¢a supde 
que o pacote pode ser retirado. O engenheiro social vai pessoalmente ou manda um servico de men- 
sageiros retirar 0 pacote. 


POLITICAS PARA O GRUPO RESPONSAVEL PELOS 
INCIDENTES DE SEGURANCA 
Toda empresa deve definir um grupo centralizado que seja notificado quando alguma forma de ataque 


a seguranc¢a corporativa for identificada. A seguir temos algumas orientaco6es para definir e estruturar 
as atividades desse grupo. 
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20-1 Grupo responsavel pelos incidentes de seguranca 


Politica: Um individuo ou grupo deve ser designado e os empregados devem ser instruidos 
para relatar os incidentes de seguranga para esse individuo ou grupo. Todos os empregados devem 
receber as informagoes de contato com o grupo. 


Explicacao/Observacoes: Os empregados devem saber como identificar uma ameagca a se- 
guranca e devem ser treinados para relatar toda ameacga a um grupo responsavel pelos incidentes de 
seguran¢a especifico. Também é importante que uma organizacao estabeleca procedimentos e autori- 
dade especificos para que tal grupo possa agir quando uma ameaga for detectada. 


20-2 Ataques em andamento 


Politica: Sempre que o grupo responsavel pelos incidentes de seguran¢a receber os relatérios 
de um ataque de engenharia social, ele deve iniciar imediatamente os procedimentos para alertar 
todos os empregados dos grupos-alvo. 


Explicacao/Observacdes: O grupo em questao ou o gerente responsavel também devem 
enviar um alerta para toda a empresa. Apos a pessoa ou 0 grupo responsavel estar convencido de que 
pode estar acontecendo um ataque, a diminuic¢ao do dano deve ser a prioridade, e 0 pessoal da empre- 
sa deve ser notificado para estar alerta. 


eek k 
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s listagens e os quadros a seguir fornecem um guia de referéncia radpida para os métodos 

da engenharia social discutidos nos Capitulos 2 a 14 e para os procedimentos de verifi- 

cacao detalhados no Capitulo 16. Adeqiie estas informag6es a sua organizacao e torne-as 
disponiveis para que os empregados as consultem quando surgir uma duvida sobre a segurancga da 
informacao. 


IDENTIFICACAO DE UM ATAQUE A SEGURANCA 


Estas tabelas e listas de verificagaéo o auxiliam a detectar um ataque da engenharia social. 


O ciclo da engenharia social 


ACAO DESCRICAO 


Pesquisa Pode incluir informag6es publicas, tais como arquivos e relato- 
rios anuais da SEC, documentos de marketing, aplicagdes de pa- 
tente, recortes de jornais, revistas da industria, contetido de sites 
Web. Também chamado de Virar latas. 


Desenvolvimento Usa as informac¢oes internas, finge ser outra pessoa, cita pessoas 
da credibilidade conhecidas da vitima, busca ajuda ou autoridade. 
e da confianga 


Solicita informag6des ou acgoes por parte da vitima. Inversamente, 


Explorando a confian¢a manipula a vitima para que ela peca ajuda ao atacante. 


Se as informacoes obtidas sAo apenas uma etapa para o objetivo 
final, o atacante retorna as etapas anteriores do ciclo até que o 
objetivo seja atingido. 


Utilizagao das informagoes 


Metodos comuns da engenharia social 


e Finge ser um colega de trabalho 
e Finge ser um empregado de um fornecedor, empresa parceira ou autoridade legal 
e Finge ser alguém com autoridade 


e Finge ser um empregado novo que solicita ajuda 
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e Finge ser um fornecedor ou fabricante de sistemas que liga para oferecer um patch ou uma 
atualizacao de sistema 


e Oferece ajuda quando ocorrer um problema e, em seguida, faz 0 problema ocorrer para mani- 
pular a vitima e fazer com que ela ligue pedindo ajuda 


e Envia software ou patch gratis para que a vitima o instale 
e Envia um virus ou Cavalo de Tr6ia como um anexo de correio eletrénico 


e Usa uma janela pop-up falsa que pede para 0 usuario fazer o login novamente ou digitar uma 
senha 


e Captura as teclas digitadas pela vitima com um sistema ou programa de computador 

e Deixa um disquete ou CD com software malicioso em algum lugar do local de trabalho 

e Usa jargao e terminologia interna para ganhar a confianca 

¢ Oferece um prémio pelo registro em um site Web com um nome de usuario e a senha 

e Deixa um documento ou arquivo na sala de correspondéncia para entrega interna 

e Modifica o cabecalho de uma maquina de fax para que ele venha de uma localizacao interna 
e Pede que uma recepcionista receba e, em seguida, encaminhe um fax 

e Pede que um arquivo seja transferido para uma localiza¢ao aparentemente interna 


¢ Configura uma caixa de correio para que as ligagdes de retorno percebam o atacante como 
alguém de dentro da empresa 


e Finge ser do escrit6rio remoto e pede acesso local ao correio eletrénico 


Sinais de um ataque 


e Recusa em dar um numero de retorno 

e Solicitagaéo fora do comum 

e Alegacao de autoridade 

¢ Enfase na urgéncia 

e Ameaga de conseqiiéncias negativas em caso de nao atendimento 
¢ Mostra desconforto quando questionado 

e Nome falso 

e Cumprimentos ou lisonja 

e Flerte 


Alvos comuns dos ataques 


TIPO DE ALVO EXEMPLOS 


Desconhecimento do valor  Recepcionistas, telefonistas, assistentes administrativos, guardas 
das informac6ées de seguranca. 


Privilégios especiais Help desk ou suporte técnico, administradores de sistema, opera- 
dores de computador, administradores do sistema de telefones. 
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Fabricante/fornecedor Hardware de computador, fabricantes de software, fornecedores 
de sistemas de voice mail. 


Departamentos especificos Contabilidade, recursos humanos. 


Fatores que tornam as empresas mais vulneraveis aos ataques 


e Um ntmero grande de empregados 


e Diversas instalagdes 


e Informagdes sobre o paradeiro dos empregados deixadas nas mensagens de voice mail 


¢ Informagdes de ramal de telefone disponiveis 


Falta de treinamento em seguranga 


e Falta de sistema de classificagaéo de dados 


e Nenhum plano ou grupo de resposta aos incidentes de seguran¢a 


VERIFICAGAO E CLASSIFICAGAO DE DADOS 


Estas tabelas e graficos 0 ajudam a responder as solicitagdes de informacg6es ou agdes que podem ser 


ataques da engenharia social. 


Verificagao de procedimento de identidade 


ACAO 


ID de chamadas 

Retorno de ligagao (Callback) 
Endosso 

Segredo comum compartilhado 
Supervisor ou gerente 


Correio eletr6nico seguro 
Reconhecimento pessoal de voz 


Senhas dinamicas 


Pessoalmente 


DESCRICAO 

Verifica se a ligacao e interna e se 0 nome e numero do 
ramal coincidem com a identidade do interlocutor. 
Procura o solicitante no diretério da empresa e liga de 
volta para o ramal relacionado. 

Pede para um empregado de confianga endossar a iden- 
tidade do solicitante. 

Solicita um segredo compartilhado da empresa, tal como 
uma senha ou cdédigo diario. 

Contata 0 supervisor imediato do empregado e solicita a 
verificagao da identidade e do status de emprego. 
Solicita uma mensagem assinada digitalmente. 

Para um interlocutor conhecido do empregado, validado 
pela voz do interlocutor. 


Verifica com relagéo a uma solucao de senha dinamica, 
tal como um ID Seguro ou outro dispositivo de autenti- 
cacao segura. 


Exige que o solicitante apareca pessoalmente com um 
cracha de empregado ou outra identifica¢ao. 
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Procedimento de verificagao de status no trabalho 


ACAO DESCRICAO 

Verificagao no diretério Verifica se o solicitante esta relacionado no diretério 

de empregados on-line. 

Verificacao do gerente Ligacao para o gerente do solicitante usando 0 numero 

do solicitante de telefone relacionado no diret6rio da empresa. 

Verificagaéo do departamento Ligacao para o departamento ou grupo de trabalho do 

OU grupo de trabalho do solicitante  solicitante para determinar se ele ainda é empregado 
da empresa. 


Procedimento para determinar a necessidade de conhecimento das 
informacoes 


ACAO DESCRICAO 

Consultar a lista de responsabilidades  Verificar nas listas publicadas quais empregados 

do cargo/grupo de trabalho tém direito de receber as informag6es confidenciais 
especificas. 

Obter autoriza¢gao do gerente Entrar em contato com o seu gerente, ou com o 


gerente do solicitante, para obter a autoriza¢ao para 
atender a solicitagao. 


Obter autoriza¢gao do Proprietario Perguntar ao Proprietario das informaco6es se o soli- 
das informac6es ou representante citante tem necessidade de conhecé-las. 

Obter a autorizacgao Verificar 0 banco de dados proprietario de pessoal 
com uma ferramenta automatizada autorizado. 


Critérios para a verificacao de nao-empregados 


CRITERIO ACAO 

Relacionamento Verificar se a empresa do solicitante tem um relacionamento de fornece- 
dor, parceiro estratégico ou outro. 

Identidade Verificar a identidade do solicitante e o status de emprego na empresa do 
fornecedor/parceiro. 

Confidencialidade Verificar se o solicitante assinou um contrato de confidencialidade que 


esta arquivado. 


Acesso Encaminhar a solicitagéo para o gerenciamento quando as informac¢des 
tiverem classificagao acima de Internas. 


Classificacao de dados 


CLASSIFICACAO DESCRICAO PROCEDIMENTO 


Publico Pode ser liberado para o publico. Nao ha necessidade de verificag¢ao. 


CLASSIFICACAO 


Interno 


Particular 


Confidencial 
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DESCRICAO 


Para uso dentro da empresa. 


As informag6des de natureza pes- 
soal destinadas ao uso apenas den- 
tro da empresa. 


Compartilhados apenas com o pes- 
soal que tem necessidade absoluta 
de conhecer as informagoes dentro 
da organizac¢ao. 
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PROCEDIMENTO 


Verificar a identidade do solicitante 
como um empregado ativo ou veri- 
ficar o contraio de confidencialidade 
em arquivo e pedir aprovacao do ge- 
renciamento para néo-empregados. 


Verificar a identidade do solicitante 
como um empregado ativo ou nao 
empregado com autoriza¢ao. Con- 
sultar o departamento de recursos 
humanos antes de divulgar infor- 
magoes Particulares para empre- 
gados autorizados ou solicitantes 
externos. 


Verificar a identidade do solicitante 
e a necessidade de conhecé-las do 
Proprietario designado das _ infor- 
macgoes. Liberar apenas com con- 
sentimento prévio, por escrito, do 
gerente ou do Proprietario das in- 
formag6es ou seu representante. Ve- 
rificar o contrato de confidenciali- 
dade em arquivo. Apenas o pessoal 
do gerenciamento pode divulgar pa- 
ra as pessoas nao-empregadas pela 
empresa. 
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Respondendo a uma solicitacao de informacgoes 


As Perguntas de Ouro 


Como sei que esta pessoa é quem ela diz ser? 
Como sei que esta pessoa tem autoridade para fazer a solicitagao? 


Solicita informacgoes 


sobre... 

Ps, 
ee 

“ay 
ee i Sue NUNCA divulgar a sua 
EXEMPLOS Oem senhas > wag senha sob nenhuma 
i | circunstancia. 

a 

¥ = Nao gt 
: ee or eee Detalhes iy Seguir os procedimentos 


ara divulgagao das 
eee ncks “s.._organizacional ia nee 
cargos dos empregados. le ¢ 


I i 


Ls vee 


- ¥ 
roa > — ia 
_ Numeros de telefones internos | i 
_ designados a equipe, numeros | Listas de Seguir os procedimentos 
de fax internos, numeros Pe jene nais _ para a divulgagao de 
internos do prédio e listas | le oe informagoes internas. 
departamentais. 
- . Nao ts 
Numeros pessoais de telefone al mt 
| (residencial ou celular), numero ee m Seguir os procedimentos 
| do seguro social, endereco — Informagoes pesebaia oe | para a divulgacgao de 
residencial, historico de Bes al informagoes internas. 
_ empregos anteriores e salarios. | 
sa i Nao _Y 
f : j ; ] Pe ais. 
Tipo de sistema operacional, | te a 
| . rocedimento : 
procedimentos de acesso BcintOnnacoes ebro Seguir os procedimentos 
remoto, numeros de discagem e eee oF para a divulgacdo de 
nomes designados aos sistemas ““sx.computadore aaa | informacées internas. 
de computadores. oo 
L all 
; Nao Pie, 
al 
Big 
rperescs de nana, " Informagées ie Determinar a classificagao 
planos estratégicos, codigo- doe cio 
‘atario ii confidenciais ou Crate OSs ec OUT Os 
fonte proprietario, listas de Bhi ; . 
lient d aA ~~ particulares procedimentos apropria- 
| clientes e segredos comerciais. ~ ee dos para a divulgacao. 
a 
Ls ll 


Todas as informacédes sao consideradas sigilosas, a menos que sejam designadas especificamente 


para a divulgacao ao publico. 
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Respondendo a uma solicitagao de informacoes 


As Perguntas de Ouro 


Nao confiar em ninguém sem verificagao. 
O questionamento das solicitagdes € encorajado. 


Solicita agao 
relativa a ... 


Nao abrir anexos, a menos 
Sam gue a mensagem ja seja 
Boe esperada; examinar todos 
os anexos com software 

antivirus. 


a . 
és eel 
OBSERVACOES corre anexo de 
correio eletronico 


a 


NUNCA altere a sua senha 
para algo que outra 
pessoa conhece, mesmo 
que seja por alguns 
instantes. 


Codigo-fonte proprietario, segre- | 


Ee Transferencia. Si Determinar a classificagao 


dos comerciais, processo de d : 

; . | os dados; seguir os 
manufatura, formulas, especifi- > “~eletronica de informagoes > BM as ey aclecwatlos 
cacoes de produto, dados de “~. _ internas ah rdivnlcaeas 
marketing ou planos de negécios. "OG gil see 
= 7 — 

—_—_—— “ Nao aK 
_ Nunca digitar comandos desco- we ia @usoleitantandcvdscen 
i 7 a . , 

Oe ee a at a Inserir comandos apenas do departamento 
| pessoa, a ange que pee ace ay em qualquer - de Tl; consulte os Procedi- 
| especificamente aprovado pelo | ny, COMputador “—— mentos de Verificagao de 
| departamento de TI. ee el Empregados. 

a ——— : 
= ¥ 
a Nao F a 
Instalar software apenas de | al " Ryg © Solicitante deve ser 
fontes confidveis que possam “Download, instalagao, ~~. apenas do departamento 
ser autenticadas por assinatura “femogao ou desativamento ) de de Tl; consulte os Procedi- 
digital. “qualquer Softwalegaes mentos de Verificacao de 
Pe ——— J i ee Empregados. 
rr some z 2 ¥ . 

Nao altere nenhuma definigdo da NAO penn = 

BIOS do sistema operacional ou sie Pigg O solicitante deve ser 

clara ae Sa lg : a »" Alterar as defini- “~~, sim apenas do departamento 

irewall pessoal ou os utilitarios de ay 

bees a menos que isso seja — goes do sistema/rede aa | de TI; consulte os Procedi- 

especificamente aprovado pelo | mage computador al mentos de Verificagao de 
_ departamento de TI. | a Empregados. 


Todas as acoes que vocé realiza a pedido de outras pessoas podem resultar em comprometimento 


dos bens da sua empresa. Verifique. Verifique. Verifique, 
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O HACKER MAIS FAMOSO DO MUNDO REVELA COMO 
EVITAR O MAIS SERIO DE TODOS OS RISCOS DE 
SEGURANCA - A NATUREZA HUMANA 


Todos os firewalls e protocolos de criptografia do mundo 
nunca serao suficientes para deter um hacker decidido a 
atacar um banco de dados corporativo ou um empregado 
revoltado determinado a paralisar um sistema. Neste livro, 
Mitnick fornece cenarios realistas de conspiragoes, falcatruas 
e ataques de engenharia social aos negocios - e suas 
consequéncias. 


Convidando vocé a entrar na mente complexa de um hacker, 
este livro ilustra como ate mesmo os sistemas de informacgoes 
mais bem protegidos sao suscetiveis a um determinado 
ataque realizado por um artista da trapaga passando-se por 
um fiscal do IR ou outro personagem aparentemente inocente. 
Este livro explora, de forma envolvente e agradavel, o motivo 
pelo qual cada ataque foi tao bem-sucedido - e como ele 
poderia ter sido evitado. 
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